Die meisten Anleitungen zum Bereitstellen von SSTP auf RRAS empfehlen die Einrichtung einer privaten Zertifizierungsstelle mithilfe von AD CS mit allen erforderlichen Schritten, um ein Serverauthentifizierungszertifikat auszustellen und dafür zu sorgen, dass es von den Clients als vertrauenswürdig eingestuft wird.
Soweit ich gelesen habe, ist es auch durchaus möglich, SSTP mit einem öffentlich signierten Zertifikat einzurichten. Wenn Sie noch keine Zertifizierungsstelle haben und auch keine anderen Anforderungen haben, die die Bereitstellung einer eigenen Zertifizierungsstelle erforderlich machen, erscheint mir der Aufwand für die Bereitstellung und Wartung einer solchen für etwas so Grundlegendes übertrieben. Zertifikate sind heutzutage sehr günstig erhältlich und Clients vertrauen dem Zertifikat automatisch, unabhängig davon, ob sie einer Domäne beigetreten sind. Mir fallen noch weitere Vorteile ein, die ich hier nicht auflisten werde.
Gibt es einen Faktor, den ich hier übersehe und der erklärt, warum die meisten Anleitungen selbst bei den einfachsten Konfigurationen den Einsatz von AD CS vorziehen, oder ist meine Überlegung ganz vernünftig?
Antwort1
Sie benötigen eine Zertifizierungsstelle zur Client-Authentifizierung. Sie dürfen nur von Ihrer Zertifizierungsstelle signierten Client-Zertifikaten vertrauen.
Wenn Sie keine Client-Zertifikate zur Authentifizierung verwenden möchten, benötigen Sie keine private Zertifizierungsstelle.