Bonjour,
 
installez-vous le rôle d'autorité de certification sur DC ou sur un serveur membre ?
 
On le trouve très régulièrement sur DC or visiblement cela ne serait pas une best practice.
 
Les raisons :
- conflit avec le rôle AD en cas de besoin d'upgrade ou de supprimer AD
- augmentation de la surface d'attaque du DC
- Ajout du besoin de restauration de l'ADCS si le DC tombe.

Surtout pas non

Ce n'est pas supporté, c'est un des pires pratiques avec Exchange sur un DC.

Ok pour les raisons exprimées ou d'autres encore ?

De base, pas de support = pas de prod.
 
AD + CA pas supporté, CA Tiers 1 pas supporté, ça suffit déjà largement
 
Il y aurait d'autres arguments mais les tiens suffisent déjà largement pour bannir cette pratique.

CA Tiers 1 ? Kesako ?

Coller une PKI complète sur un seul serveur.

Ah OK. Perso j'ai l'habitude de "mono-tiers".
 
Mais du coup se pose la question de l'opportunité de déployer ce rôle, exigeant au moins deux serveurs, sur de petites infrastructures.
Pour un besoin très sommaire, n'est-il pas plus opportun de se contenter de certificats achetés ou générés avec OpenSSL ?

Pas vraiment besoin de 2 serveurs. Ta root CA tu l'allumes 1 a 2x par an en fn des durées de tes crl.
Ton issuing la oui doit être dispo et idéalement les crl HA sur plusieurs serveurs web simples.
A toi de voir ce dont tu as besoin mais bonne chance si tu veux faire de l'autoenrollment avec OpenSSL lol

Mon but n'est pas d'équivaloir ADCS avec OpenSSL mais de se poser la question à savoir si ce dernier n'est pas suffisant pour gérer très peu de certificats, voir un seul, pour une petite structure.

Ma réponse reste valable

Tu ne déploies ce rôle que quand tu auras des raisons, du budget et les compétences pour. Pour des trucs très précis un certificat public pourquoi pas (mais bon incident à peu près garanti au renouvellement).
Pour les petites infrastructures, il y a Azure.

OK merci.
Bon ce que j'en retiens est qu'ADCS nécessite un investissement, contrairement à d'autres moyens nettement moins qualitatifs mais nettement plus abordables pour de petites structures.
Par "moyens", on va rester sur les certifs publics.
Car créer son certif via openssl et déployer le root sur les quelques postes d'une petite structure semble relever de l'hérésie.

J'en ai fait l'expérience (une authorité de certification sur un AD) et je me suis rendu compte qu'on ne peut pas faire un depromote d'un controleur qui porte la CA. Une galère à tout déplacer pour enfin virer un vieux DC en 2008R2.
Ca m'a donné l'occasion de monter une pki en 2-tier.