Большинство руководств по развертыванию SSTP на RRAS рекомендуют настроить частный центр сертификации с использованием AD CS, выполнив все необходимые шаги для выдачи сертификата аутентификации сервера и обеспечения его доверия со стороны клиентов.
Из того, что я читал, также вполне возможно настроить SSTP с использованием публично подписанного сертификата. По моему мнению, если у вас еще нет CA и нет других требований, которые требуют развертывания собственного CA, то прилагать усилия по развертыванию и поддержке одного для чего-то столь простого кажется излишеством. Сертификаты можно получить очень дешево в наши дни, и клиенты будут автоматически доверять сертификату, независимо от того, присоединены ли они к домену. На ум приходят и другие преимущества, которые я не буду здесь перечислять.
Есть ли какой-то фактор, который я здесь упускаю, и который объясняет, почему большинство руководств выбирают путь развертывания AD CS даже для самой базовой настройки, или мои рассуждения вполне здравы?
решение1
Вам нужен CA для аутентификации клиента. Вы должны доверять только клиентским сертификатам, подписанным вашим CA.
Если вы не планируете использовать клиентские сертификаты для аутентификации, то вам не нужен частный центр сертификации.