PKCS#12 NON è un formato di certificato: è un  formato di archiviazione che comprende SIA il certificato, SIA la chiave privata.

Viene usato da determinate procedure di installazione su server (e, per inciso: è di una qualche utilità solo quando i server su cui installare il medesimo certificato sono parecchi. Fossero solo una mezza dozzina, si fa molto prima ad installare "a mano" su ogni server con la procedura canonica. Se i server invece sono solo uno o due, passare attraverso il formato PKCS#12 è solo un'inutile complicazione)

Talvolta (visto che può essere crittografato) viene usato per trasmettere a terzi in (relativa) sicurezza il certificato, assieme alla chiave privata.

Poiché, per banale misura di sicurezza, la chiave privata deve restare solo ed esclusivamente in possesso dell'utente titolare del certificato e/o dell'amministratore di sistema, e di nessun altro (compresi, quindi, noi e la CA), è l'utente che poi, una volta ottenuto il certificato, può archiviarlo assieme alla chiave privata in formato PKCS#12.

Ovvero: NESSUNA CA emette certificati in formato PKCS#12, ma qualsiasi certificato può essere trasformato in PKCS#12. Tuttavia è l'utente che, in caso di necessità, può e deve farlo.

Per maggiori dettagli: http://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs12-personal-information-exchange-syntax-standard.htm

Per una introduzione meno tecnica:  https://en.wikipedia.org/wiki/PKCS_12