No certificado e-CPF A1, o par de chaves pública/privada é gerado no computador do titular, utilizando as bibliotecas criptográficas existentes e apresentadas pelo navegador. Quando ocorre a geração das chaves, a chave privada é armazenada no disco rígido do computador.

É obrigatório o uso de senha para proteger a chave privada e garantir sua segurança. O titular do certificado e-CPF deve criar uma senha forte, com no mínimo 8 caracteres e utilizando caracteres especiais (&,*,$,#,@, etc.), evitando palavras ou caracteres que o associem à senha escolhida. Não devem ser utilizadas: datas de aniversário, casamento, nascimento, o próprio nome, o nome de familiares, seqüências numéricas simples ou curtas e palavras contidas em dicionários. Existem programas capazes de decifrar uma senha fraca em questão de horas.

Da mesma forma, é obrigatório requerer a imediata revogação do e-CPF caso o titular do certificado tome conhecimento de que a segurança do mesmo foi de alguma forma comprometida.

Após a geração das chaves, é aconselhável que a chave privada seja exportada e armazenada em cópia de segurança (back-up) externa – disquete, token ou cartão inteligente (smart card) – e seu titular deve protegê-la através de senha de acesso.