需要在内部服务器和外部世界之间放置 HTTPS 服务器/代理

我有一个内部设备，需要将其“代理”到外部世界。设置它的最佳方法是什么？流程如下：

内部设备<->代理<->路由器<->外部世界。路由器是执行 NAT 的 Cisco IOS 设备。内部设备是我不希望直接访问外部世界的设备（而且，它的 HTTPS 证书无效，因为它是非 CA 证书，典型的自签名证书）。外部的代理将具有有效的 CA 证书。

由于安全政策的原因，内部设备不能直接连接到互联网。

我希望这是有意义的，并且我没有过度简化它（或过度思考它）。