PKI 在域控制器上頒發 CA

我正在設置一個最初將在內部使用的 PKI。隨著我們對此的使用可能會增加，我選擇了三層層次結構 - 離線根和策略 CA（目前一個策略 CA 供內部使用），以及線上發行 CA。我們最初討論過使用我們的域控制器作為發行 CA，而不是設置專用的 CA。

我現在開始懷疑讓我們的 DC 簽發證書是否是個好主意。我們的使用者不到 1000 人，因此我們的 DC 不會被徵稅。

有沒有人有任何建議或反對這樣做？

我們目前正在執行 Windows 2003 Active Directory，但將在來年升級到 Windows 2008。我正在設置 Windows 2008 PKI。

有點晚了，但無論如何。一般不建議在 DC 上部署 CA 角色。這使得升級 AD 變得很困難，因為您必須為更新的作業系統版本就地升級 DC。如果從基於 32 位作業系統的 DC 遷移到 64 位作業系統（如 Windows Server 2008 R2），這是很尷尬的。此外，由於偏好是推廣乾淨建構的新 DC，而不是就地升級，因此在降級舊的 DC/CA 組合時會變得很尷尬。

引用自：https://serverfault.com/questions/217362