Большинство руководств по развертыванию SSTP в RRAS рекомендуют настроить частный ЦС с использованием AD CS со всеми необходимыми шагами, которые связаны с этим, чтобы выпустить сертификат проверки подлинности сервера и доверить ему доверие клиентов.
Из того, что я прочитал, также вполне возможно настроить SSTP, используя публично подписанный сертификат. На мой взгляд, если у вас еще нет ЦС и других требований, требующих развертывания собственного ЦС, то развертывание и поддержка одного из таких базовых приложений кажется излишним. В наши дни сертификаты можно получить очень дешево, и клиенты будут автоматически доверять сертификату, независимо от того, присоединены ли они к домену. На ум приходят другие преимущества, которые я не буду здесь перечислять.
Есть ли фактор, который мне здесь не хватает, который объясняет, почему большинство руководств предпочитают идти по пути развертывания AD CS даже для самой базовой настройки, или я думаю, что это довольно здраво?
Вам нужен ЦС для аутентификации клиента. Вы должны доверять только клиентским сертификатам, подписанным вашим центром сертификации.
Если вы не планируете использовать клиентские сертификаты для аутентификации, вам не нужен частный ЦС.