内部サーバーと外部の間にHTTPSサーバー/プロキシを配置する必要があります

外の世界に「プロキシ」する必要のある内部デバイスがあります。これを設定するための最良の方法は何でしょうか？フローは以下のとおりです。

内部デバイス<->プロキシ<->ルーター<->外の世界。ルーターはCisco IOS NATを実行するデバイスです。内部デバイスは、外部に直接アクセスしたくないデバイスです（また、HTTPS証明書は無効です。は非CA証明書であり、通常は自己署名されています）。外部へのプロキシには有効なCA証明書があります。

セキュリティポリシーにより、内部デバイスをインターネットに直接接続することはできません。

これが理にかなっていること、そして私がそれを単純化しすぎていない（または考えすぎていない）ことを願っています。