мне кажется, что нужно вместо редиректа
rewrite ^/(.*)$ https://$host/$1 permanent;
делать
return 301 https://$server_name$request_uri;
так как вполне возможно, что после первого запроса к беку $host поменяется
в мануале в части юнитов для systemd поломаны переносы строк.
не After=syslog.target network.target[Service], а
After=syslog.target network.target
[Service]
и тд
