Сертификат - какой хотите
никакого издевательства. В локальной сети - локальные DNS-серверы, отдающие локальный IP
Из внутренней сети делаете доступ либо по локальному доменному имени,
либо по тому же имени, но резолвящемуся в локальный IP - и обрабатываемому другим конфигом веб-сервера, без mTLS.
что вам мешает добавить в ту же кладовку локальную железку?
Нормальным провайдерам на локацию клиента плевать от слова совсем.
Немало кто так наоборот, обрадуется, если криптой платить будете.
никаким
базовые знания можно получить в гугле
Так как бы речи то про обслуживание домена не идет.
Вы не поняли проблематику - в схеме есть CF proxy, который САМ выпускает сертификаты для домена, но ставит их на _свои_ проксирующе сервера.