> Ez esetben sem kell, hogy a szolgáltatások tanúsítványát belső CA adja ki.
Nem állítottam hogy kell. Megpróbáltam rávilágítani, hogy miért mondta a kolléga, hogy a belső CA akkor is számít, ha nincs benne a kommunikációban, mert úgy tűnt, nem érted.
> Például akkor kifejezetten problémás lehet, ha külső partnerek is használják a szolgáltatást.
Persze, ez a házi tanúsitványoknál így van.
> a SSL végződtetést akarsz, annak az a feltétele, hogy kliensek ismerjék a végződtető rendszer vagy az azt kibocsátó CA tanúsítványát
Nem mondod.
> Ez ugyanúgy lehet duplikált külső kibocsátású tanúsítvány vagy akár * tanúsítvány.
(magyarán az SSL kapcsolat felbontásának nem előfeltétele, hogy legyen belső CA annak minden nyűgjével)
A dupla tanúsítványnak is vannak nyűgje, a *osnak is egyébként, de ebből a szempontból csak az ssl bontásos usecasek csak egy részét lehet vele fedni: azokat, ahol te rendelkezel egyébként kontrollal a server felett is, tehát kaphatsz rá certet. És nyilvánvalóan nem fogsz kapni *.example.com-osat, míg saját CAval, amit a kliensek elfogadnak tudsz ilyet is generálni.