Você o executa primeiro através de um servidor web real, como o nginx ou o Apache, que faz o SSL funcionar para você, e repassa um cabeçalho dizendo se a conexão foi feita via SSL (importante apenas se você estiver fazendo coisas como redirecionar se uma página de necessidades-para-ser-segura foi acessada sem SSL).
Em teoria, eu acho que você poderia colocar o stunnel na frente do mestiço e fazer desse jeito, mas as razões para não serem grandes e assustadoras, então não o faça.