Sebbene una CA non abbia bisogno della chiave privata per emettere un certificato, i certificati per S / MIME verrà utilizzato per crittografia : una volta ottenuto un certificato S / MIME, le persone invieranno e-mail crittografate e le e-mail rimarranno crittografate nella tua casella di posta.
Ciò implica che perdere la tua chiave privata (ad esempio, il tuo disco rigido di calcolo non funziona, o il tuo laptop viene rubato) comporta la perdita delle tue preziose email. Questo è un problema. Per evitare ciò, le chiavi di crittografia dovrebbero avere un backup ( l'impegno chiave può essere visualizzato come una sorta di backup). In questo senso, una CA che genera la coppia di chiavi e mantenendo una copia della chiave privata può essere un servizio molto utile.
La buona CA dovrebbe offrirti la scelta tra la generazione della chiave privata dalla tua parte o dalla loro parte. Se si genera la chiave privata da sé e mai nella CA (solo la chiave pubblica, come parte della richiesta di certificato), qualsiasi tipo di backup è, naturalmente, responsabilità dell'utente.
La modalità predefinita della maggior parte delle CA è ciò che è più semplice da utilizzare e rende la probabilità di un cliente irato o in difficoltà a telefonarle il più in basso possibile. Il processo di generazione del certificato sarà per lo più basato sul Web, ma il certificato e la sua chiave privata devono in fine essere disponibili per l'applicazione di posta dell'utente, che potrebbe essere abbastanza disgiunta dal suo browser Web. L'invio di un archivio PKCS # 12 (PFX) all'utente come file è un metodo che funziona "ovunque" (se un'applicazione di posta supporta S / MIME, quindi supporta l'importazione di un file PKCS # 12). La generazione di chiavi private locali, l'invio di una richiesta di certificato, l'ottenimento del certificato e l'importazione indietro, il ripristino del collegamento logico tra chiave privata e certificato, è un processo che può funzionare, ma dipende dallo specifico software coinvolto (Tipo di sistema operativo, versione del sistema operativo, tipo di browser, versione del browser, tipo di applicazione di posta, versione dell'applicazione di posta). Molte varianti comportano un aumento del rischio di chiamate all'helpdesk, che è il costo maggiore nel funzionamento di una CA professionale.