Самоподписанный сертификат для RDP через Интернет - почему бы и нет?

Недавно мне сообщили на SF, что использование самозаверяющего сертификата для RDP через общедоступный интерфейс не рекомендуется. В этом конкретном сценарии я хотел бы больше понять, почему.

Ситуация такова: я RDP в сеть путем переадресации портов на независимые машины в локальной сети через статический IP. Например:

External 100.110.120.130:10001 forward to 192.168.1.101:3389
External 100.110.120.130:10002 forward to 192.168.1.102:3389
And so on.

Каждая машина, на которую мне нужно RDP (каждый узел RDP), имеет собственный подписанный закрытый ключ, а мой RDP-клиент (только эта отдельная машина) имеет открытые сертификаты. Сертификаты находятся в хранилище доверенных корневых центров сертификации на каждом компьютере. Предметом CN сертификата является статический IP 100.110.120.130,

Если я настраиваю IPSec на каждом компьютере локальной сети, чтобы требовать входящий / исходящий идентификатор / аутентификацию / шифрование с этим и только этим сертификатом на TCP:3389 а также UDP:3389и я единственный парень с открытыми ключами, вы можете помочь мне понять риски в этом сценарии?

Заранее спасибо!