Como posso deixar meus clientes usarem seu próprio SSL no meu SaaS?

Executamos um serviço que permite que nossos clientes executem seu próprio CMS. Nossos clientes querem usar seu próprio certificado SSL, seja ele auto-assinado ou assinado por outra empresa.

Nosso aplicativo é executado em PHP . Eu estava pensando em uma tecnologia de proxy reverso, mas nós temos muitos deles para recarregar manualmente nginx .

• Executamos em gcloud , por isso, temos a capacidade de ter blocos de certificados SSL.
• Estamos prontos para usar SNI , descartando o suporte para WinXP .
• Precisamos aceitar certificados SSL e implementá-los com interação de infraestrutura mínima (Recarregando daemons etc.).
• Estamos abertos a usar qualquer servidor da Web ou tecnologia de proxy reverso que você recomende.
• Não queremos usar UCC , pois queremos permitir que os clientes tragam seu próprio SSL.
• O IPv4 é escasso, portanto, queremos limitar os endereços IP que escolhemos.

Como eu poderia fazer isso?

EDIT: Eu tentei OpenResty com o seu plugin ssl, embora o desempenho esteja faltando. Se alguém tiver uma ideia melhor, compartilhe!