Cuando un usuario entra en el certsrv de tu CA, es su navegador el que genera la pareja de claves y la petición del certificado, no tu servidor. Tu servidor solo firma la petición de certificado, que por supuesto no tiene la clave privada y por lo tanto es inútil sin ella.
Lo que quieres hacer es sacarte tu los certificados de los usuarios (romper la cadena PKI, ya que existirá repudio al existir otra persona con acceso a la clave privada, tu), y mandárselos por correo. Para eso tienes que pedir los certificados con la clave privada marcada como exportable, en opciones avanzadas. Después exportar los certificados a archivos desde el navegador, y mandárselos, uno por uno. Recuerda que también tienes que mandarles el raiz.