A única razão para manter a CA em um host separado é a segurança.
Se você tiver apenas um servidor, alguém invadindo ele só terá acesso a esse servidor, não importa o quê. Mas se você tivesse 10 servidores e mantivesse a chave privada da CA em um deles, alguém que invadisse o servidor poderia assinar uma chave para acessar todos seus servidores.
Para uso pessoal, não importa muito. Se você é o único administrador desse servidor, você pode manter as chaves em um pen drive, ou até confiar apenas na senha da chave - cabe a você decidir o quanto isso é arriscado.