>> Разобрался. Дело все-таки было в bitbucket.
> Ожидаемо ...
>> Нужно было конфиг томката допилить для SSL
> Но как?! (С) Один джентльмен
> У тебя по конфигурации вроде как SSL заканчивается на самом nginx-e и
> до Tomcat-a не доходит?
> Хотим грязных подробностей! (С)

Step 1: Configure the Tomcat Connector
Find the normal (non-SSL) Connector directive in Tomcat's  <Bitbucket home directory>/shared/server.xml file, and add the scheme,   proxyName, and proxyPort attributes as shown below. Instead of mycompany.com, set the proxyName attribute to your domain name that the nginx server will be configured to serve. This informs Bitbucket Server of the domain name and port of the requests that reach it via nginx, and is important for the correct operation of the Bitbucket Server functions that construct URLs.

secure="true"
     scheme="https"
     proxyName="mycompany.com"
     proxyPort="443" />
1
<Connector port="7990"
2
     protocol="HTTP/1.1"
3
     connectionTimeout="20000"
4
     useBodyEncodingForURI="true"
5
     redirectPort="443"
6
     compression="on"
7
     compressableMimeType="text/html,text/xml,text/plain,text/css,application/json,application/javascript,application/x-javascript"
8
     secure="true"
9
     scheme="https"
10
     proxyName="mycompany.com"
11
     proxyPort="443" />

Ну, вот, как-то так...