La mayoría de las guías para implementar SSTP en RRAS recomiendan configurar una CA privada usando AD CS, con todos los pasos necesarios que conlleva para emitir un certificado de autenticación de servidor y que los clientes confíen en él.
Por lo que he leído, también es perfectamente posible configurar SSTP utilizando un certificado firmado públicamente. En mi opinión, si aún no tiene una CA y no tiene otros requisitos que requieran implementar su propia CA, entonces hacer el esfuerzo de implementar y mantener una para algo tan básico parece excesivo. Los certificados se pueden obtener a muy bajo costo hoy en día y los clientes confiarán automáticamente en el certificado, independientemente de si están unidos a un dominio. Me vienen a la mente otras ventajas que no enumeraré aquí.
¿Hay algún factor que me falta aquí que explique por qué la mayoría de las guías optan por implementar AD CS incluso para la configuración más básica, o mi pensamiento es bastante acertado?
Respuesta1
Necesita una CA para la autenticación del cliente. Debe confiar únicamente en los certificados de cliente firmados por su CA.
Si no planea utilizar certificados de cliente para la autenticación, no necesita una CA privada.