После того, как последовал это руководство, неясно, когда использовать публичный сертификат вместо сертификата домена для WSUS.
Основное преимущество общедоступного сертификата заключается в том, что хосты автоматически доверяют им, тогда как члены внутреннего домена автоматически доверяют сертификату внутреннего домена. Однако вы все равно можете вручную установить подписанный сертификат внутреннего домена на компьютеры, не входящие в домен, и заставить их доверять ему.
Еще одно ограничение внутреннего сертификата домена связано с их содержимым. Они часто содержат точки распространения списков отзыва сертификатов, которые обслуживаются через AD LDAP. Это означает, что клиенты могут получить доступ к точке распространения CRL (CDP) только в том случае, если они присоединены к внутреннему домену и у них есть сетевое соединение для связи с ним. Обратите внимание, что вы по-прежнему можете добавить к своим сертификатам общедоступный CDP, который позволит любому получить доступ к нему через Интернет. Если бы вы сделали это, вам нужно было бы обслуживать это через HTTP вместо LDAP. Конечно, тогда вы также будете нести ответственность за безопасное размещение этого CRL на веб-сервере с выходом в Интернет.
Последствия для безопасности сводятся к следующему:
Если вы защищаете свои HTTPS-соединения с помощью сертификата, подписанного общедоступным (Интернет) центром сертификации, вы делаете допущение, что все ваши управляемые конечные точки имеют доступ в Интернет для выполнения проверки списка отзыва сертификатов (CRL). Это может быть не так, и в этом случае они, вероятно, не смогут загружать обновления.
Я предполагаю, что большинство ваших конечных точек будут подключены к домену, поскольку это типичная конфигурация для развертываний WSUS, то есть: WSUS, настроенный с помощью групповой политики. В этом случае подойдет сертификат, подписанный ЦС интрасети.
О, и нет, никаких лицензионных последствий (в любом случае).