Eu não acho que você possa fazer o que quiser com o apache na frente do tomcat. Se você quiser que o tomcat lide com a negociação ssl, por que não apenas usar o iptables para redirecionar o tráfego no 443 para sua porta (8443)? Você poderia fazer isso com uma regra como (substitua eth0 pela sua interface ethernet):
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443
Se você quiser / precisar manter o apache no lugar, acho que precisará negociar o SSL no apache. Como alternativa, se você quiser algo na frente do seu aplicativo tomcat você pode usar haproxy ou nginx - eles funcionarão como proxies genéricos.