Celá bezpečnosť CA veľmi silne záleží na ochrane tajného kľúča CA. Ak dôjde k úniku tohto kľúča, stanú sa všetky ním podpísané certifikáty nedôveryhodné. Takže problému ochrany tajného kľúča CA treba venovať veľkú pozornosť.
V operačných systémoch a sieťových programoch sa často nachádzajú chyby, ktoré často umožňujú neoprávnený prístup. Taktiež nikdy nemôžeme vedieť, či do systému jeho autori nezabudovali nejaké zadné vrátka, ktoré veci znalým umožnia obísť príslušnú autentifikáciu a vstúpiť do systému. Preto musíme pre účely uchovávania tajného kľúča CA považovať každý počítač, ktorý je pripojený k verejnej sieti a používa software, o ktorého bezpečnosti nie sme schopní sa dostatočne presvedčiť, za potenciálne narušiteľný, a teda neprípustný. Jedno riešenie, v praxi používané, spočíva v použití izolovaného počítača na prípravu a podpisovanie certifikátov, ktoré sa potom prenášajú na počítač poskytujúci certifikáty tak, že sa zapíšu na externé pamäťové médium, ktoré sa potom fyzicky presunie k druhému počítaču, kde sa certifikáty prečítajú. Rovnako dobre je možné použiť iný jednosmerný komunikačný kanál, ako napríklad jednosmerná sériová linka. Je možné uvažovať aj o použití dvojsmerného kanálu, ale v takom prípade je nutné dôkladne ošetriť spracovanie všetkých možných vstupov na strane počítača obsahujúceho tajný kľúč, aby nemohlo dôjsť k zneužitiu komunikačného kanála.