La CA non ti fornirà un certificato per un proxy. Inoltre, non forniranno un certificato per un server specifico. Ti forniranno semplicemente un certificato che corrisponde a un nome host specifico (o a più nomi). Il luogo in cui utilizzi questo certificato spetta a te (alcuni CA potrebbero limitare questo). Si potrebbe anche utilizzare lo stesso certificato su più sistemi.
Ciò significa che è possibile utilizzare lo stesso certificato sia sul proxy che sul server finale, ovvero chiudere il traffico TLS al proxy e quindi avere un'altra connessione TLS con lo stesso certificato al server reale. Ma puoi anche terminare il traffico TLS al proxy con il certificato emesso dalla CA pubblica e quindi utilizzare un certificato diverso per il real server usando la tua PKI che è considerata affidabile dal tuo proxy. Oppure, se la connessione al server reale dal proxy viene considerata protetta con altri mezzi (come IPSec), puoi anche utilizzare il traffico normale senza TLS per connettersi dal proxy al server reale.
Terminando la connessione TLS nel proxy il proxy ha accesso al testo semplice e può anche apportare modifiche al traffico, come richiedere l'autenticazione, filtrare il traffico in un WAF ecc.