Đã có và đã có các cơ quan chứng nhận cung cấp dịch vụ tạo cặp khóa. Tuy nhiên, đó chắc chắn không phải là cách ưa thích. Trước hết, nó cho phép CA đóng vai trò là thực thể có khóa riêng, vì họ có thể đã giữ lại khóa đó $^1$. Thứ hai, điều đó có nghĩa là việc vận chuyển khóa riêng phải được bảo mật. Cuối cùng, nó cũng có thể làm cho việc lưu trữ kém an toàn hơn; nói chung, bạn không muốn đặt giá trị vào bộ nhớ không an toàn, bộ nhớ này cũng có thể được hoán đổi sang thiết bị lưu trữ.
Nói chung, bạn sẽ cố gắng giữ khóa riêng an toàn nhất có thể. Về cơ bản, điều đó có nghĩa là giá trị khóa chỉ được chuyển nếu một bản sao lưu là cần thiết. Đôi khi, bạn chỉ nên yêu cầu một khóa mới, nhưng việc tạo một cặp khóa mới có nghĩa là chứng chỉ cũng cần được thay thế và điều đó có thể tốn quá nhiều tài nguyên (tiền, chi phí liên lạc, quy trình quản lý khóa, v.v.). Đôi khi, giá trị khóa cũng có thể được sử dụng bởi nhiều máy chủ có liên quan (ví dụ: đối với chứng chỉ ký tự đại diện).
Lưu ý rằng để yêu cầu chứng chỉ, bạn chỉ ký vào yêu cầu ký chứng chỉ hoặc CSR bằng khóa riêng. Điều đó cho phép khóa riêng tư được lưu trữ trong kho lưu trữ khóa an toàn hoặc mã thông báo (phần cứng) chẳng hạn như TPM hoặc HSM, thay vì được tải vào bộ nhớ không an toàn.
Một trong những CA cung cấp dịch vụ tạo cặp khóa là DigiNotar. Đó là một CA khét tiếng không an toàn đã bị phá sản sau khi người ta phát hiện ra rằng bạn có thể yêu cầu chứng chỉ cho bất kỳ miền nào.
$^1$ mặc dù tất nhiên họ có thể ký bất kỳ yêu cầu chứng chỉ không hợp lệ nào - về nguyên tắc, họ sẽ không cần yêu cầu của một người dùng cụ thể; Tuy nhiên, quy trình sẽ hơi khác và thông thường nó sẽ kết thúc trong nhật ký kiểm tra nếu họ định ký các yêu cầu của riêng mình
