Isso pode estar fora do tópico, porque é uma questão de planejamento de capacidade, mas a forma como você configura isso depende, em grande parte, da intensidade com que será usado. Como você planeja apenas ter uma única CA de emissão, provavelmente não será muito usada, espero. Você pode configurar tudo em uma única máquina, se quiser, para que esse tipo de resposta responda à sua pergunta. Mas você realmente quereria? Essa é uma questão diferente. Por que você quer configurar tudo em um único servidor? Por exemplo, o Respondente Online destina-se especialmente a dispositivos que não podem acessar a CA (onde o Ponto de Distribuição da CRL vive) para verificar a revogação do certificado ... por isso, não adianta colocá-lo no mesmo servidor. Ou se você tiver uma rede enorme e quiser distribuir a carga de verificação da CRL, mas desde que você tenha apenas uma única CA de emissão que seja duvidosa.