Proxy de encaminhamento para webservices com certificados de cliente SSL

Eu tenho muitos servidores que acessam vários serviços Web externos, a maioria dos quais usa SSL, alguns dos quais requerem certificados de cliente. Eu gostaria de centralizar a configuração de certificados de clientes e dissociar a camada de apresentação dos servidores subjacentes.

Embora eu possa usar o Squid para fazer proxy das solicitações, não consigo ver nos documentos como dizer ao Squid para selecionar um certificado de cliente específico para o serviço da Web de destino. Isso é possível?

Uma abordagem seria manter uma gangue de instâncias stunnel além do proxy Squid e, em seguida, configurar o software cliente para usar solicitações http com um gravador de URL para rotear a solicitação por meio da instância de stunnel apropriada, mas isso quebrará se eu obtiver Resposta XML referenciando um DTD HTTPS (a menos que eu reescreva o conteúdo com um MITM completo).

Existe outra solução?

atualização

O problema com a reescrita 'https' para 'http' é que ele quebra todos os recursos adicionais com um URI http - já que o adaptador de protocolo os converterá novamente em https!

Me deparei com este artigo que resolveu o problema de adicionar um certificado de cliente a uma conexão com proxy - que é potencialmente uma solução. Mas requer que o cliente seja configurado para usar um proxy, também há problemas em nomear as coisas e como fazê-lo funcionar com o DNS dividido. Sem dúvida, não são grandes problemas, mas me fez pensar que o que estou descrevendo aqui é o padrão usado pela maioria dos provedores de CDN - por isso estou pensando em usar o Apache Traffic Server como componente intermediário - isso permite usar DNS dividido, separar canais SSL entre o cliente e a origem e certificados de cliente para a comunicação com o servidor de origem.