Я правильно понимаю, что в топологии ваших серверов Nginx "смотрит в мир", а доступ к Tomcat-у(-ам) извне не предполагается? Т.е., стандартный подход: снаружи балансировщик, внутри сервер
а приложений на которые балансировщик перенаправляет запросы? В таких случаях Tomcat-ы должны быть закрыты полностью от любого доступа извне на уровне сети/прокси, т.е. они находятся в так называемой "демилитаризованной зоне" и не требуют защиты на уровне протокола обмена данными (HTTPS). Более того, обычно балансировщик при приеме соединения по HTTPS "раздевает" его, расшифровывает, и не имеет средств для повторного шифрования, да это и не нужно. Обычно, балансировщик, получивший данные по HTTPS-соединению передает их дальше на бакенды по протоколу AJP, который предназначен как раз для общения балансировщика с бакендами, т.к. по сравнению с обычным HTTP имеет средства для пинга доступности узлов на бакенде. Таким образом, в вашей конфигурации Nginx должны быть что-то вроде:
proxy_pass http://127.0.0.1:8009; #8009 - default AJP port on Tomcat
