на очень специфической специально заточенной версии nginx
В чём заключается эта специфичность?
используются нестандартные порты вместо 80 и 443, т.е. доступ вида domain.example:1234 работает, но сертификаты от LE не получить, т.к. для этого требуется открытый 80 и 443 порты
Используйте webroot-авторизацию, в этом случае всё равно, какие у вас там внутри порты.
сертификаты должны оставаться на самих серверах, а не находиться на прокси
Это требование исходя из чего?
По сути вопроса - да, nginx всё это умеет, proxy_pass настраивается буквально тремя строчками даже в таком экзотическом варианте, как HTTPS -> HTTPS на кастомный порт. Другое дело, что так никто не делает по понятным причинам. Как раз наоборот - делают единый (ну или отдельный для каждого приложения) https-гейт с nginx`ом, на котором, собственно, и терминируется HTTPS, устанавливается сервис для получения-обновления сертификатов от LE, а внутрь пробрасывается нешифрованный HTTP.
