Сложилась практика, что ключ генерируют и выдают пользователю сотрудники УЦ (представительства УЦ / партнер в регионе). Схема генерации первых ключей (правильная с теоретической т.з.):
- Клиент приходит и сам генерирует ключи на специально выделенной машине;
- Запрос на сертификат (с открытым ключом клиента, подписанный ЭП) уходит в УЦ;
- УЦ получает запрос, обрабатывает и генерирует сертификат, подписанный его ЭП;
- Клиент получает сертификат и может использовать свои ключи.
Схема подразумевает несколько походов в подразделение УЦ / представительство, поэтому её "упрощают" (до одной встречи), генерируя всё на основе заявки и выдавая готовые ключи клиенту по паспорту/доверенность.