Người dùng muốn mã hoá và gửi thông báo đầu tiên phải tạo ra một cặp khoá công khai/khoá riêng. Cặp khoá này là duy nhât đối với mỗi người dùng trong PKI
Trong mô hình PKI toàn diện, có thể tạo khoá trong hệ thống máy trạm của người dùng cuối hoặc trong hệ thống của CA. Vị trí tạo cặp khoá được xem là quan trọng. Các nhân tố có tác động tới vị trí tạo cặp khoá bao gồm khả năng, hiệu suất, tính đảm bảo, sự phân nhánh hợp pháp và cách sử dụng khoá theo chủ định
Cho dù là vị trí tạo khoá ở đâu thì trách nhiệm đối với việc tạo chứng chỉ chỉ dựa vào CA được cấp quyền. Nếu khoá công khai được tạo bởi thực thể, thì khoá công khai đó phải được chuyển tới CA một cách an toàn
Một khi khoá và chứng chỉ có liên quan được tạo ra, chúng phải được phân phối một cách thích hợp. Việc phân phối chứng chỉ và khoá yêu cầu dựa trên một vài nhân tố, bao gồm cả vị trí tạo khoá, mục đích sử dụng và các mối quan tâm khác như là những ràng buộc về chức năng, chính sách. Chứng chỉ được tạo ra có thể được phân phối trực tiếp tới người sở hữu, hoặc tới kho chứng chỉ ở xa hoặc cả hai. Điều này sẽ phụ thuộc vào mục đích sử dụng khoá và các mối quan tâm về chức năng. Nếu khoá được tạo ở hệ thống máy khách, thì khoá riêng đã được lưu trữ bởi người sở hữu khoá riêng, và không cần có yêu cầu phân phối khoá (không áp dụng với dự phòng khoá). Tuy nhiên, nếu khoá được tạo ra ở một nơi khác, thì khoá riêng phải được phân phối một cách an toàn tới người sở hữu khoá đó. Có rất nhiều cơ chế có thể được sử dụng để thực hiện điều này. Cũng cần phải chú ý rằng, nếu khoá được tạo ra được dùng cho mục đích chống chối bỏ thì khoá đó cần được tạo tại vị trí máy khách của thực thể