Возможна ли маршрутизация трафика к службе через SSH-туннель с обратного прокси-сервера?

У нас есть центральный сервер, на котором настроен SSL-сертификат QuoVadis, и ряд «пограничных» устройств, на которых выполняются службы (в этом примере на порту 1880). Мы хотели бы иметь доступ к службам через запрос к центральному серверу (и нам нужно управлять только одним сертификатом SSL), но при этом обеспечивать безопасность связи без управления самозаверяющими сертификатами для каждого шлюза.

Предложенная нами архитектура заключается в использовании обратного прокси на центральном сервере для перенаправления трафика по туннелям SSH на каждую службу, как показано на схеме ниже.

Похоже ли это на подходящую архитектуру или есть лучшее решение?