下位の証明機関をドメインコントローラーにインストールする必要がありますか？どうして？

運用上の制約を無視して簡単な答えは？

状況1：CAのセキュリティが（1）ドメインコントローラーと同様にセキュリティにとって非常に重要である場合（2）十分な予備容量があり、（3）DCのセキュリティを低下させる必要がない場合CAへの特別なアクセスを許可したり、ファイアウォールルールを変更したりして、ドメインコントローラーで実行するだけです。理由は次のとおりです。

• おそらく、それほど多くの人々がDCにアクセスできず、とにかく安全です。
• CAは通常、いずれにせよDCのセキュリティに依存しているため、DCがハッキングされた場合、CAのゲームオーバーとなります。

状況2：CAより重要度が低い。それはどこかでの便宜のためです、またはテストと証明書はあなたのセキュリティにとって重要ではありません。次に、別のサーバーで実行します。なぜなら：

• 複雑さが増しても、ドメインコントローラーのセキュリティが損なわれることはありません（追加のコードを実行すると、常にセキュリティリスクが高まります。専門用語では「攻撃対象が増える」）。
• ドメインコントローラーへの権限を与える必要なく、サーバーを管理するためのアクセス権を人々に与えることができます。

状況3：DCセキュリティよりも重要です。たとえば、商用CAを実行しているとします。

• できるだけ多くの分離と監視を使用してください。おそらく完全に別のドメインです。
• いくつかのセキュリティ専門家に参加してください！