Ja, das Problem ist aber, dass die Browser nur Seiten als sicher bestätigen, wenn diese direkt vom Apache kommen. Alles was vom Tomcat kommt, bringen die Browser Meldung ähnlich wie z.B.:

Verbindung teilweise verschlüsselt
Teile der Seite, die Sie ansehen wurde nicht verschlüsselt, bevor sie über das Internet übertragen wurden.

In der Adressleiste steht auch https davor, aber es ist nicht "grün" wie bei den anderen Adressen welche nur über den Apache geliefert werden.

Gruß