Правильная настройка SSL на апаче заключается в том, чтобы не издеваться над старичком и поставить перед ним nginx, терминирующий шифрование. Следующий шаг - эвтаназия.
Я бы обратился к нескольким компаниям, для которых продажа лицензий MS - профильная деятельность. И сравнил ответы и стоимость. Консультируют они, особенно если счёт идёт на десятки и сотни - крайне охотно.
А в чём сложность? Прикручиваете к вашему сайту капчу, настраиваете, чтобы, например, без сессионной куки, которую сайт выдаёт только прошедшим капчу, содержимое не отдавалось, заруливаете в веб-сервере людей без куки на страницу авторизации.
Таким образом ботов блокировать бессмысленно. Те, которые честно про себя пишут в юзерагенте - обычно не запрашивают агрессивно и плюс-минус уважают то, что написано в robots.txt. Подавляющее большинство парсеров, которые фигачат как не в себя - притворяются обычными браузерами.
Почему у вас в локейшене одновременно root, proxy_pass и try_files? Определитесь, чего хотите - если только проксировать в Vue, то этим занимается второй вариант.
Если тем приложениям, которым вы собираетесь отправлять данные всё равно, какой source IP - то проканает. В противном случае (а это чуть более, чем всегда) - работать не будет. Подставлять на интерфейсе одного провайдера адреса другого не рекомендую.
Неадминистрируемый VPS - зона ответственности клиента, хостер тут ни при чём. Если у приложения есть функционал SSL-шифрования - настройте его. Если нет (и оно работает по HTTP) - поставьте перед ним nginx.
Если взломали сервер - хакер либо достанет все ваши ключи прямо из незашифрованного хранилища, либо перехватит в момент передачи из шифрованного хранилища в приложение (сложнее), либо из памяти процесса (ещё сложнее, но вполне реализуемо).
Способ защиты в вашем случае - недопущение взлома, а не нагромождение лишних сущностей.
Если это договор между юрлицами - они сами вас (или бухгалтерию) найдут задолго до того, как поддержка закончится. Деньги-то нужны :) А всякие технические штуки, типа сертификатов - в мониторинге.
