大多数在 RRAS 上部署 SSTP 的指南都建议使用 AD CS 设置私有 CA,并附带所有必要的步骤来颁发服务器身份验证证书并使其受到客户端的信任。
根据我的阅读,也完全可以使用公开签名的证书来设置 SSTP。在我看来,如果您还没有 CA 并且没有其他需要部署您自己的 CA 的要求,那么为如此基本的东西努力部署和维护一个 CA 似乎有点矫枉过正。如今,证书可以很便宜地获得,并且客户端将自动信任证书,无论他们是否加入域。想到的其他优点我不会在这里列出。
是否有一个我在这里遗漏的因素来解释为什么大多数指南选择走上部署 AD CS 的路线,即使是最基本的设置,还是我的想法很合理?
您需要 CA 进行客户端身份验证。您必须只信任由您的 CA 签名的客户端证书。
如果您不打算使用客户端证书进行身份验证,则不需要私有 CA。