ky0

Добавить в конфиг веб-сервера локейшен, обрабатывающий все запросы с сообветствующим префиксом, то есть, в вашем случае, /download/test, и перенести basic auth внутрь него.

На сайте с рефератами.

Запроксируйте на "двух других" урлы к статике через фоновый с кэшем - тогда они скачают файл с него всего по одному разу, положат его в кэш и затем будут отдавать из него.

Разумеется, при изменении файлов нужно менять на странице урл к нему, например, с помощью аргумента с версией.

Так же, как и раньше делали все не склонные к велоспиедам - с помощью Network Address Types.

ПО плохо подходит для вашей задачи, подумайте о том, чтобы реализовать на чём-то более релевантном.

Можно. Функционал называется зависимые элементы. Или прямо в выражении триггера логическое условие поставьте.

Написать в саппорт, отправить им сертификат, они сами установят, наверное. А может и нет - у них же есть услуга автовыпуска через LE.

Добавьте локейшен для статики (прямо перечислив расширения, например), который бы логировал запросы в отдельный файл.

Погрепать руками access-логи (если это разовая задача), подключить какой-нибудь Goaccess (красиво, но не вполне гибко), если хочется гибкости - ELK и т. п.

Редиректы и отображение веб-сервером сайта от симлинков не зависит - только от конфига. Если файлы с его точки зрения лежат там же - поведение будет идентичным.

Лучший учебник - практика в виде пары лет эникеем под руководством толкового админа. Никакая книжка или курс и близко не стояли.

Раз у вас на выходе уже есть все необходимые ключи/сертификаты - добавить их в конфиг, это десяток строк на баше/питоне/etc.

Всё зависит от конкретного пакета. По идее - все конфиги должны храниться в /etc и после purge удаляться - именно в этом же его смысл по сравнению с remove. Универсального рецепта нет, короче - только следить, в какие ещё каталоги гадит ПО.