Что надо прописать в NGinx, чтобы при наборе адреса «mysite.loc» открывался «https://mysite.loc» ?

Но в таком виде не работает

Должно работать.

Покажи весь конфиг. Обычно тебе нужно две секции server, для http с редиректом и основным сервером с https. Проверить перенаправление всегда можно с помощью wget, он не кеширует 3xx ответы.

Ты весь блок покажи, зачем точки поставил?

Показывай полный конфиг

Покажи весь конфиг.

server {

	# SSL configuration
	listen 443 ssl default_server;
	listen [::]:443 ssl default_server;

	ssl on;
    ssl_certificate /etc/nginx/ssl/mysite.loc.crt;
    ssl_certificate_key /etc/nginx/ssl/mysite.loc.key;

	root /var/www/mysite/site/public;

	index index.php index.nginx-debian.html index.html index.htm;

	server_name mysite.loc;

    # Переход на URL с https, если URL в строке боаузера набран без протокола
	return 301 https://$host$request_uri;

	location / {
		# First attempt to serve request as file, then
		# as directory, then fall back to displaying a 404.

		#try_files $uri $uri/ =404;
        try_files $uri $uri/ /index.php?$query_string;
	}

	location ~ \.php$ {
		include snippets/fastcgi-php.conf;
	
		# With php-fpm (or other unix sockets):
		fastcgi_pass unix:/var/run/php/php7.0-fpm.sock;
	}
}

Nginx, естественно, перезагружал.

Должно работать.

А может ли эта проблема возникнуть из-за самоподписанного сертификата?

То есть, был бы сертификат нормальным, NGinx сделал бы перенаправление на https. Но он видит, что ssl для https самоподписной, и не перенаправляет на https://mysite.loc, а оставляет пользователя на дефолтной странице?

Xintrea вот тут тебе ответили, убирай редирект из своего конфига как он сейчас и добавь в этот же конфиг этот server.

Нет, не может.

Или вообще вот так, как генерирует certbot

server {
    if ($host = domain.name) {
        return 301 https://$host$request_uri;
    } # managed by Certbot

Не понял тебя. Что надо сделать?

Убрать у тебя из конфига:

    # Переход на URL с https, если URL в строке боаузера набран без протокола
	return 301 https://$host$request_uri;

и добавить вниз с новой строки

 server {
    if ($host = mysite.loc) {
        return 301 https://$host$request_uri;
    }

Ну или так можно, да.

Да, и проверь, что и 80, и 443 порты открыты на сервере.

Да, заработало. А почему не срабатывала команда без условия? Она же та же самая что и та которая условием обернута.

В условии написано if ($host = mysite.loc), так я в строке браузера так и набираю mysite.loc. Так что оно полюбому срабатывает. Но вот отдельной строкой без оборачивания в условие - переход не работает. А с условием - работает. Почему?

Потому что тебе нужно ДВА сервера. Один по https (порт 443) работает и обслуживает твой сайт. Другой по http (порт 80) и делает редиректы (его добавляет дополнительная секция server). Если ты вобьешь в браузере http://mysite.loc (или mysite.loc, если нет HTTPS Everywhere), то браузер пойдет протоколом http на 80 порт, где ничего нет.

Потому что тебе нужно ДВА сервера

Ну это как-то скучно...
Реквестирую более нескучное решение, с учётом того, что Nginx умеет так

server {
  listen 80;
  listen 443 ssl;
...
}

Ты обращался к серверу по 80 порту, а редирект прописал для 443.

Ага, вот это похоже на правду.