Если у меня будет такое удостоверение то я могу представиться доверенным лицом и инициировать генерацию новой партии закрытого и открытого ключей.

Не путайте. Есть сессионные ключи, которые генерируются не единожды за сессию и которые можно действительно перегенерировать «на лету», и есть основной закрытый ключ, которым подписывается запрос сертификата, на основании которого доверенный CA выпускает и подписывает сертификат. И который в дальнейшем используется при инициации сессий как часть пары закрытый ключ-сертификат. Изначальное удостоверение подлинности сторон осуществляется именно с помощью вторых.

Если у вас нет закрытого ключа, соответствующего сертификату, то вы не сможете договориться с сервером о генерации новой пары сессионных ключей.

Вы можете (мало того, должны, это часть handshake) получить сертификат любого сервера, с которым работаете по SSL/TLS, но это не значит, что вы можете представиться этим сервером. Простая аналогия — вы можете завладеть паспортом человека, но предъявить, не обладая его лицом, вы никому его не сможете предъявить. Не очень точно, но, надеюсь, суть понятна — есть удостоверение (сертификат) и есть какая-то неразрывно связанная с ним особая часть данных (закрытый ключ), которую заполучить сильно сложнее, чем само удостоверение и без которого это удостоверение не имеет ценности.

Если есть закрытый ключ — да, вы можете представиться тем, чей это сертификат, но закрытые ключи по открытым каналам не должны передаваться никогда, поэтому их перехватить можно только либо из-за ошибки пользователя, либо взломав оборудование, на котором хранится закрытый ключ, что к теме новости не относится.

И то не всегда, есть, например, криптографиечкие токены, которые не позволяют получать закрытый ключ, даже имея полный доступ к терминалу, примерно как кредитки с чипом работают.