客户端 VPN 的 SSL/TLS 证书 - Meraki

希望您能在这里帮助我。我正在尝试通过我们的 Cisco Meraki MX80 安全设备/路由器设置客户端 VPN。我计划使用 Active Directory 身份验证选项，以便用户可以通过我们的域控制器进行身份验证。我遇到的问题就是证书部分。VPN 通过 TLS 进行身份验证。

Meraki 文档：https://documentation.meraki.com/MX-Z/Client_VPN/Integrating_Active_Directory_with_Client_VPN

有人能告诉我 SSL/TSL 证书的工作原理以及如何设置它吗？我有一个内部可访问的域控制器（互联网上不可见，但路由器可访问）。据我所知，需要在该域控制器上设置证书才能使其工作。我们正在运行 Server 2012 Standard R2。我如何购买和链接证书？我原本想使用 StartSSL 获得免费证书，但他们的网站目前不接受新用户 :(

当我去 RapidSSL 购买证书（每年 49 美元）时，它要求提供由服务器生成的 CSR。如何从我的域控制器获取此 CSR？我需要安装哪些角色？由于 DC 无法通过互联网访问/看到，证书还能用吗？这显然不是我的专家，所以请原谅我的菜鸟。;)

我打算使用vpn.webdomain.com作为 VPN 的地址，并且已经创建记录以将该子域路由到我们路由器的公共静态 IP 地址。

谢谢你尽你所能的帮助！