La CA no le proporcionará un certificado para un proxy. Tampoco le proporcionarán un certificado para un servidor específico. Solo le proporcionarán un certificado que coincida con un nombre de host específico (o varios nombres). El lugar donde utilice este certificado depende de usted (algunas CA pueden restringirlo). Incluso puede utilizar el mismo certificado en varios sistemas.
Esto significa para su caso que podría usar el mismo certificado tanto en el proxy como en el servidor final, es decir, terminar el tráfico TLS en el proxy y luego tener otra conexión TLS con el mismo certificado al servidor real. Pero también puede terminar el tráfico TLS en el proxy con el certificado emitido por la CA pública y luego usar un certificado diferente para el servidor real usando su propia PKI en la que confía su proxy. O bien, si la conexión al servidor real desde el proxy se considera protegida por otros medios (como IPSec), también podría utilizar el tráfico normal sin TLS para conectarse desde el proxy al servidor real.
Al terminar la conexión TLS en el proxy, el proxy tiene acceso al texto sin formato y también puede realizar cambios en el tráfico, como solicitar autenticación, filtrar el tráfico en un WAF, etc.