Настройка RRAS (SSTP) с общедоступным сертификатом SSL и несоответствием публичного / частного имени (WS2012R2)

У меня есть сервер WS2012R2, присоединенный к домену, который я хочу использовать для VPN (SSTP). Сама машина находится за NAT-маршрутизатором (хотя у нее есть фиксированный IP-адрес, и переадресация на него порта 443 проста).

Я хочу разрешить пользователям подключаться к нему, подключаясь к vpn vpn.mydomain.com, но сервер находится в домене с суффиксом .local (mydomain.local). Я думал, что добавлю DNS-запись vpn.mydomain.com в панель управления хостами общедоступного веб-сайта с фиксированным IP-адресом маршрутизатора, а затем просто перенаправлю 443 на vpn.mydomain.local.

Меня смущает проблема. что имя сертификата не будет соответствовать хосту (vpn.mydomain.com vs vpn.mydomain.local), поэтому будет ли это отображаться как недействительный сертификат? Во избежание сомнений, это будет законный сертификат SSL от основного поставщика, а не самозаверяющий сертификат. Мне бы хотелось узнать ответ на этот вопрос, прежде чем я трачу деньги. Во всех руководствах, которые я видел, используются заполнители для фактических доменных имен и / или предполагается, что домен Windows не использует суффикс .local.

Если это невозможно, каково решение в этой ситуации? (надеюсь, без воссоздания домена)

Очевидно, что имя vpn.mydomain.local не является общедоступным, и я не могу получить для этого сертификат SSL. Я знаю, что в настоящее время Microsoft рекомендует использовать «правильное» доменное имя для доменов Windows и не использовать суффикс «.local», но этот домен уже существует. Я также не заинтересован в настройке инфраструктуры PK в домене Windows, чтобы позволить нескольким парням время от времени получать доступ к vpn.