Não, é claro, a MS CA (ou seja, o software do servidor Autoridade de Certificação no Microsoft Windows Server) não gera uma chave privada para você! Isso seria um projeto de segurança terrível!
O MS CA usa tags HTML especiais (que eram originalmente proprietárias da MS, mas agora são amplamente suportadas) para informar ao navegador da Web do cliente para gerar um par de chaves e enviar apenas a chave pública para a MS CA. A MS CA usa essa chave pública, além das informações de identidade que o servidor já sabe sobre a conta que você usou ao fazer login na interface da Web da MS CA na URL /certsrv
, para gerar um certificado de chave pública para você e fazer essa nova cert (e os certificados da CA na cadeia de confiança) disponíveis para download.
Quando seu navegador vê as tags HTML especiais e gera o par de chaves, ele armazena a chave privada em algum lugar localmente na máquina cliente. Para o MSIE no Windows, isso seria no "Microsoft Certificate Store" (leia a palavra "Store" como "Storage", não "Retail Shop"). Para o Safari no Mac, isso seria no Mac Keychain. Outros navegadores podem optar por usar os recursos internos do sistema operacional host para armazenamento seguro da chave privada ou podem implementar seu próprio modo de armazenar chaves privadas com segurança.
Depois de baixar o certificado recém-emitido, você provavelmente precisará instalá-lo na mesma área de armazenamento seguro em que seu navegador colocou a chave privada correspondente ao gerá-lo. Então, no Mac, você precisaria importar esse certificado para o Keychain. Acredito que o MSIE para Windows tenha um controle ActiveX ou outro plug-in do navegador ou funcionalidade interna que baixa automaticamente o certificado de chave pública e o instale no Microsoft Certificate Store na máquina cliente.
[Advertência: Eu não mexo com essas coisas em sistemas baseados no Windows em anos (como era do Windows XP e do Windows Server 2003), então essa informação pode estar terrivelmente desatualizada. Espero que alguém com um conhecimento mais recente de como isso funciona em sistemas baseados no Windows possa me corrigir.]