Bei Anwendungen, die auf SSL/TLS basieren, (z. B. EAP/802.1x, HTTPS oder RADSEC) wird das SSL-(Server-)Zertifikat samt privatem Schlüssel und den CA-Zertifikat(en) der Zwischenstufen als PKCS#12-Container in das Gerät geladen.
Die Gegenstellen müssen dann beim Verbindungsaufbau nur das eigene Gerätezertifikat an das Gerät senden. Die Zertifikatskette wird im Gerät auf Gültigkeit geprüft.