IKEv2 VPN + Radius + EAP-TLS — почему сертификат Radius нужно устанавливать на роутер?

Всем привет! Я успешно настроил RouterOS, чтобы VPN-клиенты могли подключаться через IKEv2, с использованием radius и аутентификацией по EAP-TLS (без паролей). Конфигурация ниже. Что я выяснил — эта настройка работает только если я беру закрытый ключ и сертификат нашего radius-сервера и устанавливаю этот сертификат на RouterBOARD (certificate=certificate-of-the-radius-server.pem). Очевидно, это не очень удобно — я бы предпочёл, чтобы сертификат был только на radius-сервере, а не дублировался на роутерах, которые, к тому же, не всегда физически защищены так же хорошо, как radius. Может кто-то объяснить, почему так происходит? Какие требования предъявляются к сертификату на RouterBOARD, почему сертификат, который установлен на radius, недостаточен?

# feb/25/2018 13:00:00 by RouterOS 6.41.2  
# software id = 95CM-PS1P  
#  
# model = 1100AHx2  
# serial number = 5732041E2225  

/ip ipsec mode-config  
add address-pool=default-dhcp name=roadwarrior split-include=192.168.x.x/24  

/ip ipsec policy group  
add name=roadwarrior  

/ip ipsec proposal  
set [ find default=yes ] enc-algorithms=blowfish pfs-group=modp4096
add auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc lifetime=8h name=roadwarrior pfs-group=none  

/ip ipsec peer  
add address=0.0.0.0/0 auth-method=eap-radius certificate=certificate-of-the-radius-server.pem dh-group=ecp256,modp2048,modp1536,modp1024 enc-algorithm=aes-256 exchange-mode=ike2 generate-policy=port-strict hash-algorithm=sha256 mode-config=roadwarrior passive=yes policy-template-group=roadwarrior send-initial-contact=no  

/ip ipsec policy  
add dst-address=192.168.x.x/24 group=roadwarrior proposal=roadwarrior src-address=0.0.0.0/0 template=yes  
add dst-address=192.168.y.y/24 group=roadwarrior proposal=roadwarrior src-address=0.0.0.0/0 template=yes  

С уважением,  
Graham