A VPN RRAS SSTP usando certificado assinado publicamente é uma má ideia?

A VPN RRAS SSTP usando certificado assinado publicamente é uma má ideia?

A maioria dos guias para implantação de SSTP em RRAS recomenda a configuração de uma CA privada usando AD CS, com todas as etapas necessárias para emitir um certificado de autenticação de servidor e torná-lo confiável para os clientes.

Pelo que li, também é perfeitamente possível configurar o SSTP usando um certificado assinado publicamente. Na minha opinião, se você ainda não possui uma CA e não possui outros requisitos que exijam a implantação de sua própria CA, então se esforçar para implantar e manter uma para algo tão básico parece um exagero. Os certificados podem ser obtidos de forma muito barata hoje em dia, e os clientes confiarão automaticamente no certificado, independentemente de estarem ingressados ​​no domínio. Outras vantagens vêm à mente que não vou listar aqui.

Há algum fator que estou perdendo aqui que explica por que a maioria dos guias opta por seguir o caminho da implantação do AD CS, mesmo para a configuração mais básica, ou meu pensamento é bastante correto?

Responder1

Você precisa de uma CA para autenticação do cliente. Você deve confiar apenas em certificados de cliente assinados pela sua CA.

Se você não planeja usar certificados de cliente para autenticação, não precisará de uma CA privada.

informação relacionada