Некоторые меры безопасности, которые рекомендуется соблюдать при настройке Центра сертификации (ЦС) на сервере Windows:

• Использовать отдельный веб-сервер. 2 Безопаснее разместить веб-центры загрузки сертификатов и списки отзыва сертификатов на отдельном сервере, чем на сервере ЦС. 2
• Не устанавливать службы IIS на сервер корневого ЦС. 2 По возможности не настраивать службы IIS на серверы выдающих и промежуточных ЦС. 2
• Защитить учётные записи. 2 Для каждого сервера назначать разные пароли и имена учётных записей. 2 Переименовать учётные записи администратора и гостя в каждом домене и на каждом сервере, использовать длинные и сложные пароли. 2
• Не настраивать службы на запуск в контексте безопасности учётной записи домена. 2 Имея физический доступ к серверу, пароли учётной записи домена можно легко получить. 2
• Использовать аппаратные модули безопасности (HSM). 4 Они предоставляют безопасное аппаратное хранилище ключей ЦС, а также выделенный криптографический процессор для ускорения операций подписывания и шифрования. 4
• Физически защищать ЦС и его закрытые ключи. 4

Также рекомендуется проводить аудит информационной безопасности всех шаблонов сертификатов для устранения известных недостатков конфигурации. 1