大多數在 RRAS 上部署 SSTP 的指南都建議使用 AD CS 設定私有 CA,並執行頒發伺服器驗證憑證並使其受到客戶端信任的所有必要步驟。
據我了解,使用公共簽署憑證設定 SSTP 也是完全可能的。在我看來,如果您還沒有 CA,也沒有需要部署自己的 CA 的其他要求,那麼為如此基本的東西部署和維護一個 CA 似乎有點大材小用。如今,可以非常便宜地獲得證書,並且客戶端將自動信任該證書,無論他們是否加入網域。其他優點我想到了,這裡就不一一列舉了。
我在這裡缺少一個因素來解釋為什麼大多數指南選擇部署 AD CS 的路線,即使是最基本的設置,或者我的想法是否合理?
答案1
您需要一個 CA 來進行客戶端身份驗證。您必須僅信任由您的 CA 簽署的用戶端憑證。
如果您不打算使用用戶端憑證進行身份驗證,則不需要私有 CA。