大多数在 RRAS 上部署 SSTP 的指南都建议使用 AD CS 设置私有 CA,并执行随之而来的所有必要步骤来颁发服务器身份验证证书并获得客户端的信任。
据我所知,使用公开签名的证书设置 SSTP 也是完全可能的。在我看来,如果您还没有 CA,也没有其他需要部署自己的 CA 的要求,那么为如此基本的事情部署和维护一个 CA 似乎有些过头了。如今,证书的获取成本非常低,而且客户端会自动信任该证书,无论他们是否加入了域。我想到的其他优点我就不在这里一一列举了。
是否有我遗漏的因素可以解释为什么大多数指南选择走部署 AD CS 的路线,即使是最基本的设置,或者我的想法是否很合理?
答案1
您需要一个 CA 来进行客户端身份验证。您必须仅信任由您的 CA 签名的客户端证书。
如果您不打算使用客户端证书进行身份验证,那么您不需要私有 CA。