Ez a terítésen bukik meg, több száz immutable/ephemeral virtuális gépről van szó. Az sem triviális hogy egy adott pillanatban lekérdezd hogy éppen hány gép is fut.
Ezzel a megoldással a szervereken elég csak egy statikus UserTrustedCA és a jövőben a kliens kulcsok aláírását ki lehet majd rakni egy külső service-re egy shell script helyett ami a user gépén fut. (Erre van is már kész megoldás, csak fejből nem vágom a nevét.) Ennek most azért nem lenne sok értelme mert a külső szervizt is ugyanazok üzemeltetnék akiknek az aláírt kulcs kell, így ott is vissza lehetne élni vele.