Un PKCS12 utilizado por un cliente debe contener una clave privada y cert / chain para el cliente , que se usa para autenticar al cliente para que el servidor sepa que una conexión SSL / TLS es de un legítimo / autorizado el cliente y, por lo tanto, las solicitudes a este respecto deben aceptarse y / o otorgarse el (los) privilegio (s) apropiado (s). Idealmente, un cliente debería usar una clave generada por sí misma combinada con un certificado emitido por una CA en el que el servidor confía o por el propio servidor, pero en algunas situaciones, una autoridad como el administrador del servidor simplemente proporciona una clave y en un PKCS12 para que no tengan que pasar 20 o 30 horas al día informando a los usuarios sobre cómo funciona la PKI y cómo generar una clave y cómo generar una clave que no sea del tipo incorrecto o demasiado breve o inaceptable y cómo escribir datos en una CSR y qué es una CSR y por qué una CSR no es un certificado y tampoco es una clave y por qué su CSR era defectuosa y cómo deben escribir los datos correctos en una CSR para que realmente funcionen y cómo buscar la clave que generaron hace 2 horas, pero ahora se han perdido, eliminado, sobrescrito o convertido en otra cosa o en la máquina equivocada etc. etc.
Los pares de claves del cliente deben ser diferentes de los pares de claves del servidor, y la clave privada del servidor nunca debe ser distribuida a un cliente, o en cualquier otro lugar, excepto una instalación de respaldo de claves o un servidor de reemplazo. Si el servidor utiliza un certificado autofirmado o un certificado emitido por una CA que no es de confianza, entonces un cert (no clave) que sirve como ancla de confianza para el servidor , el propio certificado si está autofirmado y, por lo general, el certificado raíz de CA, debe importarse como de confianza en el cliente (s).