使用公開簽名證書的 RRAS SSTP VPN 是個壞主意嗎？

大多數在 RRAS 上部署 SSTP 的指南都建議使用 AD CS 設置私有 CA，並附帶所有必要的步驟來頒發伺服器身份驗證證書並使其受到客戶端的信任。

根據我的閱讀，也完全可以使用公開簽名的證書來設置 SSTP。在我看來，如果您還沒有 CA 並且沒有其他需要部署您自己的 CA 的要求，那麼為如此基本的東西努力部署和維護一個 CA 似乎有點矯枉過正。如今，證書可以很便宜地獲得，並且客戶端將自動信任證書，無論他們是否加入域。想到的其他優點我不會在這裡列出。

是否有一個我在這裡遺漏的因素來解釋為什麼大多數指南選擇走部署 AD CS 的路線，即使是最基本的設置，還是我的想法很合理？

您需要 CA 進行客戶端身份驗證。您必須只信任由您的 CA 簽名的客戶端證書。

如果您不打算使用客戶端證書進行身份驗證，則不需要私有 CA。

引用自：https://serverfault.com/questions/727473