简单的答案，忽略任何操作限制？

情况一：如果 CA 的安全性 (1) 与域控制器的安全性一样重要 (2) 您有足够的备用容量 (3) 您不需要通过授予任何人对域控制器的特殊访问权限来降低 DC 的安全性CA 或因此更改防火墙规则，然后只需在域控制器上运行它，因为：

• 据推测，没有太多人可以访问 DC，而且无论如何它都得到了很好的保护。
• 无论如何，CA 通常将依赖于 DC 的安全性，因此如果 DC 被黑客入侵，CA 的游戏就结束了。

情况二：它不如 CA 重要。这是为了方便，或者测试和证书对您的安全性并不重要。然后在单独的服务器上运行它。因为：

• 您不会因额外的复杂性而破坏域控制器的安全性（运行额外的代码总是会增加安全风险 - 用行话来说“它会增加攻击面”）。
• 您可以授予人们管理服务器的权限，而无需授予他们对域控制器的权限。

情况三：它比 DC 安全更重要。例如，您正在运行一个商业 CA。

• 尽可能多地使用隔离和监控。可能完全是一个单独的域。
• 找一些安全专家进来！