Isso deve ser feito no servidor em que o SSL é finalizado - sem SSL, não há certificado para usar na autenticação. É possível que o servidor proxy possa usar as informações contidas no certificado para substituir em um cabeçalho HTTP adicional, mas, de acordo com o AFAIK, não há suporte explícito para credenciais de encapsulamento sobre HTTP usando ISA nem Squid.
Em princípio, seria possível reempacotar a solicitação antes de apresentá-la ao servidor da Web real, mas isso envolveria muito mais inteligência que normalmente está disponível em um proxy.