установка ssl в связку nginx и apache

Ну, для начала ты не учёл что нужно использовать лоркод.
Сейчас тебя устраивает как работает связка nginx+apache? Тогда в общем случае для добавления поддержки https достаточно настройки nginx. Но в случае некоторых сайтов нужно будет передавать апачу информацию о том пришёл-ли запрос по http или https. её можно прокинуть так-же как информацию об IP клиента (не знаю умеет-ли mod_rpaf это)

P.S. воспроизведи конфигурацию в виртуалке или на копеечной VPS, потренируйся для начала на кошках

сорян за лоркод( сейчас устраивает работа связки. т.е. даже mod_rpaf не обязательно ставить? просто изменить конфиг nginx?

нужно установить apache mod_rpaf

Этот модуль для того чтоб в логах апача у вас был не ip хоста с nginx, а пользовательский. Он, в целом, не обязателен вообще, и если сейчас его у вас нет и все устраивает - просто настраивайте ssl на nginx.

а то на боевом придется делать все наживую)

Делайте бэкапы, используйте nginx -t, берегите ноги. Но вообще да, это можно и на локалхосте воспроизвести для проверки, или вам просто нравится рисковать?

спасибо!

Если сайт уже в продакшене и без mod_rpaf всё работает нормально, но в принципе можно и без него. Но лучше с ним. А то мало-ли… решит движёк сайта что, например, как-то много попыток логина с одного IP, да и забанит его. А это 127.0.0.1, и с него вообще все запросы приходят. будет самоDoS.
Апач давно не тыкал, но вроде mod_rpaf это одна директива что-бы его подключить. и ещё одна что-бы настроить. Делов-то

Вот словишь такое ERR_SPDY_INADEQUATE_TRANSPORT_SECURITY Тогда возвращайся, обязательно поймаешь её в эксплорерах виндовозов 7-10. И хромах 49-51. И сафари в некотрых версиях.