具有自定义信任决策的SSL代理负载平衡器

我目前有一个配置了ssl的NGINX负载平衡器来保护我的后端服务器。我现在需要添加具有特定信任决策算法的客户端身份验证。更具体地说，我需要根据特定的OCSPR URL检查客户端证书的吊销状态，如果OCSPR不可用，我需要使用CRL作为回退方法。NGINX似乎不支持带有CRL回退的OCSP（尽管它单独支持它们），我也不认为NGINX支持任何类型的自定义信任决策，因此我认为我需要用更好地支持我的需求的东西来取代NGINX

经过大量的搜索，我很难找到一个简单的代理服务器支持这一点。我可以选择在负载平衡器级别删除SSL，并在后端服务器上配置SSL，但问题是我需要保护多种不同类型的应用程序（Tomcat、Node.js和Elasticsearch）。所有这些应用程序都有通过使用自定义信任管理器等来支持我的需求的机制，但是我更愿意在负载平衡器上进行SSL握手，而不是将负载放在后端服务器上，并且必须维护所有不同的配置

我有一个用Java编写的自定义TrustManager，它支持OCSP/CRL需求，如果有办法在代理服务器中使用它，那就太好了。我可以用Tomcat设置一个简单的代理服务器，或者编写一些自定义Java代码作为代理负载平衡器来利用我的信任管理器吗？我也一直在研究ApacheCamel，这似乎是一种选择，但我对Camel一点也不熟悉，所以我不确定使用Camel作为代理服务器是否可行

非常感谢您的帮助