Ez esetben sem kell, hogy a szolgáltatások tanúsítványát belső CA adja ki. Például akkor kifejezetten problémás lehet, ha külső partnerek is használják a szolgáltatást.
Ha SSL végződtetést akarsz, annak az a feltétele, hogy kliensek ismerjék a végződtető rendszer vagy az azt kibocsátó CA tanúsítványát. Ez ugyanúgy lehet duplikált külső kibocsátású tanúsítvány vagy akár * tanúsítvány.
(magyarán az SSL kapcsolat felbontásának nem előfeltétele, hogy legyen belső CA annak minden nyűgjével)
De jelen esetben én úgy értem, hogy az SSL végződtetés nem is lehet része a repertoárnak, mert a monitorozó nem ékelődik bele a kapcsolatba, hanem port forgalom tükrözés van, azaz "egyszerű" hallgatózás. Aminek az is az előnye, hogy nem lassítja a forgalmat, azaz valóban passzív résztvevő. Ilyen esetben teljesen mindegy, ki a CA, a kulcsokra van szükség az adatfolyam dekódolásához.