RRAS に SSTP を展開するためのほとんどのガイドでは、AD CS を使用してプライベート CA を設定し、サーバー認証証明書を発行してクライアントに信頼してもらうために必要なすべての手順を実行することを推奨しています。
私が読んだところによると、公的に署名された証明書を使用して SSTP を設定することも完全に可能です。私の考えでは、CA をまだ持っていない場合、独自の CA を展開する必要がある他の要件がない場合は、このような基本的なことのために CA を展開して維持する手間をかけるのはやりすぎのように思えます。最近では証明書を非常に安価に取得できるため、クライアントはドメインに参加しているかどうかに関係なく、証明書を自動的に信頼します。ここでは挙げない他の利点も思い浮かびます。
ほとんどのガイドが最も基本的なセットアップであっても AD CS を展開するルートを選択する理由を説明する要因がここにあるのでしょうか、それとも私の考えはかなり妥当なのでしょうか?
答え1
クライアント認証には CA が必要です。CA によって署名されたクライアント証明書のみを信頼する必要があります。
認証にクライアント証明書を使用しない場合は、プライベート CA は必要ありません。