在RRAS上部署SSTP的大多数指南都build议使用AD CS设置专用CA,并附带所有必要的步骤,以发布服务器身份validation证书并使其受到客户端的信任。
从我读过的内容来看,也可以使用公开签名的证书来设置SSTP。 在我看来,如果你还没有一个CA,并且没有其他需要部署你自己的CA的需求,那么去部署和维护一个这样基本的东西的努力似乎是矫枉过正的。 现在证书可以很便宜地获得,而且无论是否join域,客户都会自动信任证书。 想到其他的优点,我不会在这里列出。
是否有一个我在这里失踪的因素解释了为什么大多数指南select了甚至是最基本的设置都要部署AD CS的路线,还是我的思路很好?
您需要用于客户端身份validation的CA. 您只能信任由您的CA签名的客户端证书。
如果您不打算使用客户端证书进行身份validation,则不需要专用CA.