Un PKCS12 utilizzato da un client dovrebbe contenere una chiave privata e una catena per il client , che viene utilizzato per autenticare il client in modo che il server sappia che una connessione SSL / TLS proviene da un legittimo / autorizzato client e quindi richieste su questa connessione dovrebbero essere accettate e / o dati privilegi appropriati. Idealmente un client dovrebbe utilizzare una chiave generata da sé in combinazione con un certificato emesso da una CA che il server considera attendibile o emesso dal server stesso, ma in alcune situazioni un'autorità come l'amministratore del server fornisce solo una chiave e certs in un PKCS12 in modo che non debbano spendere 20 o 30 ore al giorno per istruire gli utenti su come funziona PKI e come generare una chiave e come generare una chiave che non sia del tipo sbagliato o troppo breve o altrimenti inaccettabile e come digitare i dati in una CSR e che è una CSR e perché una CSR non è un certificato e inoltre non è una chiave e perché la CSR era difettosa e come dovrebbero digitare i dati corretti in un CSR in modo che funzioni effettivamente e come cercare la chiave che hanno generato 2 ore fa, ma che ora hanno perso o cancellato o sovrascritto o convertito in qualcos'altro o messo sul macchina sbagliata ecc.
La coppia di chiavi del client dovrebbe essere diversa dalla coppia di chiavi del server e la privatekey del server non dovrebbe mai essere distribuita a un client o ovunque tranne una funzione di backup della chiave o un server sostitutivo. Se il server utilizza un certificato autofirmato o un certificato rilasciato da una CA che non è pre-attendibile, allora un certificato (non chiave) serve come ancoraggio sicuro per il server , il certificato stesso se autofirmato e, in genere, il CERT radice CA, deve essere importato come attendibile sui client.