Generalmente ci sono due tipi di generazione di chiavi disponibili come generazione offline e online.
La Generazione offline è come la CA creerà le coppie di chiavi e il certificato di emissione per l'altra parte tramite l'affidabilità tra di loro come mezzo di generazione ed emissione. Inoltre, in alcuni casi, gli utenti finali o gli abbonati non sono a conoscenza di cos'è la CSR e le coppie di chiavi, in questo caso la CA deve fornire un meccanismo di facile utilizzo per ottenere il certificato.
Generazione online è come ottenere il certificato da terze parti attendibili fornendo il CSR come input. Qui l'utente è ben consapevole degli strumenti di sicurezza.
Nota: nei casi offline, la chiave privata è con CA. o può mancare di usarlo in qualsiasi momento per la situazione. E anche per una ragione genuina, rubata la tua chiave privata e abusata, devi essere inaffidabile della tua CA. Quindi è meglio evitare la generazione di chiavi dal lato CA.
Anche la maggior parte dell'infrastruttura PKI fornisce la flessibilità di generare la coppia di chiavi nei browser anche se gli utenti finali o gli abbonati non ne sono a conoscenza semplicemente facendo clic sul pulsante OK.