1) Нет, так не получится. Надо или пробрасывать порты сразу на Апач, или ставить балансир типа BigIP. Можно терминировать SSL трафик на фронтенде и потом по SSL (но это уже другая сессия) передавать на бэкенд. Да, в proxy_pass можно писать https, но это будет новая сессия между фронтендом и бэкендом.
2) Не знаю
3) Можно, см. п.1
4) Это означает, что надо установить SSL сессию с бэкендом, т.е. с Apache в вашем случае. Получается <client>---SSL_session1---<nginx>---SSL_session2---<apache>