Qual é o propósito de usar diferentes certificados x.509 para comunicação interna e com clientes?

Editar - Aha. Acho que posso ter entendido errado. Mas vou deixar minha resposta original.

Parece que os atributos necessários no certificado para um membro do cluster são mais específicos do que o que é geralmente usado para um servidor não clusterizado, então o mongoDB tem a opção de usar um certificado para operações de membro do cluster e um certificado diferente para operações normais de servidor para cliente. Da minha leitura, porém, se o certificateKeyFile tiver os atributos necessários, você pode usá-lo para ambos os propósitos.

Postagem original

Você está interpretando isso errado

Parece que o mongoDB (e, presumo, outros serviços semelhantes) oferece a opção de usar certificados/chaves diferentes para comunicação de servidor para cliente e de servidor para servidor (ou seja, interna).

Certificados são usados ​​para verificar identidade com segurança. O certificado de um servidor verifica se ele é o servidor que diz ser, esteja ele se comunicando com um cliente ou outro servidor membro.

O certificado de um cliente verifica se o nome do host é o que ele diz ser e deve ter apenas as permissões que um cliente tem.

Se você (por exemplo) distribuísse um certificado de servidor para todos os servidores membros e todos os clientes, e fizesse isso funcionar, então qualquer cliente poderia dizer "Ei, eu sou um servidor" e então excluir ou alterar dados. Os servidores geralmente são bloqueados, mas as máquinas clientes vão para a internet e leem e-mails, e assim ficam expostas a códigos maliciosos; ou são deixadas para trás em cafeterias ou roubadas - nesses casos, os clientes não devem mais ser confiáveis. No entanto, esse cliente ainda tem um certificado que diz "Ei, eu sou um servidor".