CA 和主域控制器在同一台伺服器上

我正在設置 Microsoft AD 作為我的 CA。經過研究，看起來我需要一個域控制器才能通過 CA 頒發證書。是否可以將 CA 和 DC 放在同一台伺服器上？

您需要加入域才能成為企業CA，但無需加入域即可成為獨立 CA。企業 CA 添加了與 Active Directory 集成的功能，但缺點是您不能像使用高安全性根 CA 那樣使其離線。

是的，可以將 AD CS 安裝在與域控制器相同的伺服器上。但實際上並不推薦。將域控制器作為域控制器是最佳實踐。您在一個系統上安裝的服務越多，當該系統出現故障時，您將失去的服務就越多。

編輯：您還可以探索更健壯的設計，例如擁有離線根 CA 和企業頒發 CA。

引用自：https://serverfault.com/questions/465557