暗号化や認証まわりの理解が及んでおらず、この設問と回答がなかなか理解できません。
お手数ですが、ご教示いただけますでしょうか。

設問3(1)の回答では、クライアント証明書の公開鍵に対する秘密鍵は本人しか保有していないからとあります。
一方、設問3(2)では、クライアント証明書の検証にはCAのルート証明書(=CAの公開鍵)が必要とあります。

→ここで疑問なのですが、そもそも、クライアント証明書の検証が完了すれば、SSL-VPN装置からみたら利用者は身元も特定されるように思えるのですが、誤解でしょうか。
 (CAのルート証明書で検証できれば、(1)と(2)の答えは同じでもよい気がしているのですが。。。)