Как я могу позволить своим клиентам использовать свой собственный SSL на моем SaaS?

Мы запускаем сервис, который позволяет нашим клиентам запускать свои собственные CMS. Наши клиенты хотят использовать свой собственный сертификат SSL, независимо от того, подписан он или подписан другой компанией.

Наше приложение работает PHP, Я думал о технологии обратного прокси, но у нас их слишком много, чтобы вручную перезагрузить nginx,

• Мы бежим на gcloudТаким образом, у нас есть возможность иметь корзины сертификатов SSL.
• Мы готовы к использованию SNIТаким образом, отбрасывая поддержку WinXP,
• Нам нужно принимать SSL-сертификаты и внедрять их с минимальным взаимодействием с инфраструктурой (перегрузка демонов и т. Д.).
• Мы открыты для использования любого веб-сервера или технологии обратного прокси, которую вы рекомендуете.
• Мы не хотим использовать UCC, поскольку мы хотим, чтобы клиенты приносили свой собственный SSL.
• IPv4 является дефицитным, поэтому мы хотим ограничить IP-адреса, которые мы выбираем.

Как бы я продолжил делать это?

РЕДАКТИРОВАТЬ: я попробовал OpenResty с их плагином ssl, хотя производительность не хватает. Если у кого есть идея получше, поделитесь!