Ahol nekem kellett ilyet összerakni (on-prem webmail), ott a szerver oldalon be lett állítva a tls-t végződtető komponensen, hogy milyen CA-val aláírt kliens certeket fogadhat el, a kliensekre (mobiltelefonok) meg a támogatók felrakják az egyedi, userre generált, jelszavazott p12 fájlt, telepítik belőle e kulcsot+certet, majd törlik a p12-t, így a user használni tudja, de kinyerni és lementeni már nem a certet+kulcsot.
Amíg nem fogod fel, hogy a csak usernév/statikus jelszó alapon megvalósított azonosítás önmagában miért rossz, addig nem fogsz tudni előbbre lépni.