Sua segunda abordagem é um ponto único de falha.
Sua primeira abordagem não possui um único ponto de falha - mas você não precisa de tantos proxies reversos quanto precisa de servidores web.
Você não forneceu nenhuma informação sobre o número de servidores que possui atualmente nem sobre o volume de tráfego - embora o planejamento da capacidade exija muito mais informações do que isso, seria pelo menos um ponto de partida.
I'd also like them to have sudo access on our web server
Parece que você já tem grandes lacunas no seu modelo de segurança. Sudo como quem? Se eles puderem implantar código, eles poderão acessar qualquer arquivo usando sua implementação uid - mas também quaisquer arquivos usando o uid com o qual o código é executado (novamente, você não forneceu detalhes sobre se o código é executado no servidor web, via suexec, em um daemon fastCGI rodando como um uid diferente do servidor web ...). Por que não há separação de privilégios? Por que você acha que a separação de privilégios é a única maneira de impedir que eles acessem os certificados?
Você também não forneceu detalhes sobre o modelo de ameaças. O que você está tentando impedir aqui? É apenas para impedir que os desenvolvedores roubem e usem o certificado ou você está tentando proteger os dados criptografados?