Există și au existat autorități de certificare care oferă servicii de generare de perechi de chei. Totuși, aceasta nu ar trebui să fie modalitatea preferată. În primul rând, permite CA să acționeze ca entitate care are cheia privată, deoarece este posibil să o fi păstrat $^1$. În al doilea rând, înseamnă că transportul cheii private trebuie să fie securizat. În cele din urmă, poate face stocarea mai puțin sigură; în general, nu doriți să puneți valoarea în memorie nesecurizată, care poate fi, de asemenea, schimbată pe un dispozitiv de stocare.
În general, veți încerca să păstrați cheia privată cât mai sigură posibil. Asta înseamnă practic că valoarea cheii este doar transferată dacă este necesară o copie de rezervă. Uneori, ar trebui să fie preferată simpla solicitare a unei noi chei, dar generarea unei noi perechi de chei înseamnă că și certificatul trebuie înlocuit, ceea ce ar putea necesita prea multe resurse (bani, cheltuieli generale de comunicare, proceduri de gestionare a cheilor etc.). Uneori, valoarea cheii poate fi utilizată și de mai multe servere înrudite (de exemplu, pentru certificatele cu caractere joker).
Rețineți că pentru a solicita un certificat semnați doar cererea de semnare a certificatului sau CSR folosind cheia privată. Acest lucru permite ca cheia privată să rămână într-un depozit de chei securizat sau într-un token (hardware), cum ar fi un TPM sau HSM, mai degrabă decât să fie încărcată într-o memorie nesigură.
Unul dintre CA-urile care au furnizat servicii de generare de perechi de chei a fost DigiNotar. A fost un CA notoriu de nesigur care a dat faliment după ce s-a descoperit că puteți solicita certificate pentru orice domeniu.
$^1$ deși, desigur, ar putea semna orice cerere de certificat nevalidă - în principiu nu ar avea nevoie de o solicitare a unui anumit utilizator; procesul ar fi, totuși, destul de diferit și, în mod normal, ar trebui să ajungă în jurnalul de audit dacă vor să-și semneze propriile cereri.
