RRAS에 SSTP를 배포하기 위한 대부분의 가이드에서는 서버 인증 인증서를 발급하고 클라이언트가 이를 신뢰하도록 하는 데 필요한 모든 단계와 함께 AD CS를 사용하여 개인 CA를 설정할 것을 권장합니다.
내가 읽은 바에 따르면 공개 서명된 인증서를 사용하여 SSTP를 설정하는 것도 완벽하게 가능합니다. 내 생각에는 아직 CA가 없고 자체 CA를 배포해야 하는 다른 요구 사항도 없는 경우 매우 기본적인 것을 위해 CA를 배포하고 유지 관리하는 노력은 지나친 것처럼 보입니다. 요즘에는 인증서를 매우 저렴하게 얻을 수 있으며 클라이언트는 도메인 가입 여부에 관계없이 자동으로 인증서를 신뢰합니다. 여기에 나열하지 않을 다른 장점이 떠오릅니다.
대부분의 가이드가 가장 기본적인 설정에서도 AD CS 배포 경로를 선택하는 이유를 설명하는 요소가 여기에 누락되어 있습니까? 아니면 제 생각이 꽤 타당합니까?
답변1
클라이언트 인증을 위해서는 CA가 필요합니다. CA에서 서명한 클라이언트 인증서만 신뢰해야 합니다.
인증에 클라이언트 인증서를 사용할 계획이 없다면 사설 CA가 필요하지 않습니다.