¿Debo instalar mi Autoridad de certificación subordinada en el controlador de dominio? ¿Por qué?

¿La respuesta simple, ignorando cualquier restricción operacional?

Situación uno: si la seguridad de la AC es (1) TANTO COMO IMPORTANTE para la seguridad como controlador de dominio (2) tiene suficiente capacidad de reserva y (3) no necesita reducir la seguridad para el DC al dar a alguien especial como resultado, acceda a la CA o cambie las reglas del firewall, luego simplemente ejecútelo en el controlador de dominio porque:

• Es de suponer que no muchas personas tienen acceso al DC y, de todos modos, está bien asegurado.
• La CA normalmente dependerá de la seguridad de los controladores de dominio de todos modos, por lo que si el DC es pirateado es un juego para la CA.

Situación dos: es MENOS importante que el CA. Es por conveniencia en algún lugar, o las pruebas y los certificados no son críticos para su seguridad. Luego ejecútalo en un servidor separado. Porque:

• No socavará la seguridad del controlador de dominio con la complejidad adicional (la ejecución de código adicional siempre aumenta el riesgo de seguridad; en la jerga "aumenta la superficie de ataque").
• Puede otorgar a los usuarios acceso para administrar el servidor sin tener que otorgarles derechos sobre el controlador de dominio.

Situación tres: es mucho más importante que la seguridad de DC. Por ejemplo, está ejecutando una CA comercial.

• Use tanta segregación y monitoreo como sea posible. Probablemente un dominio separado por completo.
• ¡Consigue algunos profesionales de seguridad en!