Na maior parte, os certificados key + são armazenados no registro. Este artigo da Microsoft aborda muitos dos caminhos, e aqui está um blog sobre os locais dos certificados .
Alguns pares de chaves + certificados por usuário são armazenados no sistema de arquivos. Veja
Documents and Settings\< username >\ApplicationData\Microsoft\SystemCertificates\My\Certificates
Users\< username >\ApplicationData\Microsoft\SystemCertificates\My\Certificates
Se você não quiser usar o shell de gerenciamento do Exchange, há muitas ferramentas para gerenciar certificados. O artigo vinculado menciona Certutil, você pode abrir o console Gerenciador de certificados .
Não conheço todos os detalhes sobre como exatamente o Windows armazena fisicamente as chaves e os certificados, mas certamente você pode criar uma chave privada usando uma ferramenta como o OpenSSL, criar uma solicitação de assinatura e encaminhá-la para uma autoridade de certificação. Depois de obter o certificado de uma CA, você poderá importar a chave privada e o certificado para o Windows. Normalmente, você faria isso convertendo a chave e o certificado em um arquivo pkcs12 e importando-o.
O arquivo pkcs12 e outro, a chave e o certificado podem ser armazenados no mesmo blob de registro, ou no mesmo arquivo, mas sempre serão entidades separadas, com as ferramentas corretas você poderá extraí-las e separar eles.