มีและเป็นผู้ออกใบรับรองที่ให้บริการสร้างคู่กุญแจ นั่นไม่ควรเป็นวิธีที่ชอบอย่างแน่นอน ประการแรก อนุญาตให้ CA ทำหน้าที่เป็นเอนทิตีที่มีคีย์ส่วนตัว เนื่องจากอาจเก็บไว้ $^1$. ประการที่สอง หมายความว่าการขนส่งคีย์ส่วนตัวจะต้องมีความปลอดภัย สุดท้าย อาจทำให้พื้นที่เก็บข้อมูลปลอดภัยน้อยลง โดยทั่วไปคุณไม่ต้องการให้ใส่ค่าในหน่วยความจำที่ไม่ปลอดภัย ซึ่งอาจถูกสลับไปยังอุปกรณ์จัดเก็บข้อมูล
โดยทั่วไป คุณจะพยายามรักษาคีย์ส่วนตัวให้ปลอดภัยที่สุด โดยทั่วไปหมายความว่าค่าคีย์จะถูกถ่ายโอนเท่านั้น ถ้า จำเป็นต้องมีการสำรองข้อมูล บางครั้งการขอคีย์ใหม่ควรเป็นที่ต้องการ แต่การสร้างคู่คีย์ใหม่หมายความว่าจำเป็นต้องเปลี่ยนใบรับรองด้วย และนั่นอาจใช้ทรัพยากรมากเกินไป (เงิน ค่าใช้จ่ายในการสื่อสาร ขั้นตอนการจัดการคีย์ ฯลฯ) บางครั้งค่าคีย์อาจถูกใช้โดยเซิร์ฟเวอร์ที่เกี่ยวข้องหลายตัว (เช่น สำหรับใบรับรองไวด์การ์ด)
โปรดทราบว่าในการขอใบรับรอง คุณต้องลงนามในคำขอลงนามใบรับรองหรือ CSR โดยใช้คีย์ส่วนตัวเท่านั้น ซึ่งช่วยให้คีย์ส่วนตัวยังคงอยู่ในที่เก็บคีย์ที่ปลอดภัยหรือโทเค็น (ฮาร์ดแวร์) เช่น TPM หรือ HSM แทนที่จะโหลดลงในหน่วยความจำที่ไม่ปลอดภัย
หนึ่งใน CA ที่ให้บริการสร้างคู่คีย์คือ DigiNotar เป็น CA ที่ไม่ปลอดภัยอย่างฉาวโฉ่ที่ล้มละลายหลังจากพบว่าคุณสามารถขอใบรับรองสำหรับโดเมนใดก็ได้
$^1$ แม้ว่าพวกเขาสามารถลงนามในคำขอใบรับรองที่ไม่ถูกต้องได้ก็ตาม โดยหลักการแล้ว พวกเขาไม่ต้องการคำขอจากผู้ใช้รายใดรายหนึ่ง กระบวนการจะค่อนข้างแตกต่างออกไป และโดยปกติแล้วควรลงเอยด้วยการบันทึกการตรวจสอบ หากพวกเขากำลังจะลงนามในคำขอของตนเอง