Você precisará sinalizar o nginx para recarregar os certificados TLS. Se você não vai fazer isso, não tem como você desejar.
Parte do motivo é que as verificações são feitas no tempo de carregamento da configuração / estática (existência do arquivo, validade de conteúdo, correspondência de chave privada, etc.) que não podem ser feitas no tempo de acesso / dinamicamente (quando uma solicitação é processada), mataria o desempenho e até mesmo a capacidade de atender a qualquer solicitação em um período de tempo razoável!
Agora, se o recarregamento se tornar aceitável para você, seria insensato fazer com que o nginx permita que as pessoas descartem arquivos em que o nginx as carregue, pois você está oferecendo uma maneira direta de comprometer seu (s) servidor (es), intencionalmente / maliciosamente ou por acidente se um usuário carregar um certificado ruim, não podendo substituí-lo, pois o servidor não o aceitará!
Felizmente para você, o nginx tem proteção para evitar o último e não carregará uma configuração incorreta. Mas apenas para o primeiro argumento, você deve usar canais secundários para esta operação e nunca, nunca, o mesmo.