Прямой прокси OSS с поддержкой взаимных tls (двусторонний ssl)

Взаимные tls в режиме обратного прокси хорошо документированы в Интернете. Но я ищу другое решение, позволяющее внутренним службам отправлять запросы сторонним системам, которые защищены с помощью mTLS, но мне нужно перенаправить прокси для обработки установления связи mTLS.

в простом сценарии я вижу:

Service A ---> Proxy use SA client cert. -> 3rd party mtls service
Service B ---> Proxy use SB client cert -> 3rd party mtls service

Или он также может быть разработан с меньшим аспектом безопасности, например, прокси получит собственный сертификат mTLS и будет обслуживать все внутренние службы в качестве прокси mTLS:

Service A ---> Proxy use Proxy client cert. -> 3rd party mtl service
Service B ---> Proxy use Proxy client cert -> 3rd party mtl service

Идея состоит в том, что исходный код уровня сервиса свободен от мер безопасности, которые обрабатываются через инфраструктуру. Сервисы написаны на Java, и у меня есть рабочий код mTLS-клиента, но я бы предпочел переместить его на уровень прокси.

Спасибо за любые подсказки, примеры конфигураций (nginx, ghostunnel, apache и т. Д.), Ссылки

Обновить:

Согласно ghostunnel, он поддерживается экземпляром для каждого сертификата, поэтому, если у вас есть 100 сервисов, вам нужно 100 экземпляров:https://github.com/ghostunnel/ghostunnel/issues/314

В соответствии с документами BIG-IP, похоже, это можно сделать:https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-ssl-administration-11-5-0/12.html