[nokogerra]

Хм, не знаю как наткнулся на этот тред, но хоть и отношение к PKI имею посредственное, имею вот что сказать:
имел опыт с генерацией и подменой сертификатов сервисов компонентов продуктов VMware, на примере брокера VDI и его клиентов могу сказать следующее: суть таких CA-подписанных сертификатов - дать понять клиенту, что служба, которой он вручает свои креденшиалы есть доверенная, а не пень с горы. Очевидно, что это работает в случае, если Root CA сертификат у клиента в доверенных, а Sub CA сертификат у клиента в intermediate хранилище, т.е. я, Вася такой-то, пытаясь войти на свой виртуальный десктоп, вижу зелененькую надпись https, и понимаю, что стучусь не к какому-нибудь Пете, а к своему Толе-администратору на его VDI-брокер и никто левый (кроме Толи, который и так может со мной сделать все что хочет) не угонит мои учетные данные.
Разве я в целом не прав, в таких случаях сертификат показатель именно для клиента, а не для службы? Суть для "rdp наружу", наверное, такая же?