Devo installare la mia autorità di certificazione subordinata sul controller di dominio? Perché?

La risposta semplice, ignorando eventuali vincoli operativi?

Situazione 1: Se la sicurezza della CA è (1) RAFFINATA COME importante per la sicurezza come il controller di dominio (2) hai abbastanza capacità di riserva e (3) non hai bisogno di ridurre la sicurezza per la DC dando a qualcuno di speciale accedere alla CA o modificare le regole del firewall come risultato, quindi eseguirlo sul controller di dominio perché:

• Presumibilmente non troppe persone hanno accesso al DC ed è comunque ben protetto.
• La CA normalmente dipenderà comunque dalla sicurezza DC, quindi se la DC viene violata è game-over per la CA.

Seconda situazione: è MENO importante della CA. È per comodità da qualche parte, o test e i certificati non sono fondamentali per la sicurezza. Quindi eseguirlo su un server separato. Perché:

• Non minerai la sicurezza del controller di dominio con la complessità extra (l'esecuzione di codice aggiuntivo aumenta sempre il rischio per la sicurezza - in gergo "aumenta la superficie di attacco").
• Puoi dare ai popoli l'accesso per gestire il server senza dover assegnare loro i diritti al controller di dominio.

Situazione tre: è molto più importante della sicurezza DC. Ad esempio, stai gestendo una CA commerciale.

• Utilizza il più possibile la segregazione e il monitoraggio. Probabilmente un dominio separato interamente.
• Ottieni alcuni professionisti della sicurezza!