Als een vereniging of kleine groep die om wat voor reden gebruik wil maken van deze manier van versleutelen en digitaal ondertekenen, kan het simpel besluiten dat één persoon het vertrouwenscertificaat aanmaakt, en iedereen zijn TLS Certificaat [Private/Publieke sleutel] ook door deze ene persoon laat aanmaken. Net zoals de uitgevers van certificaten ook doen. Alle TLS Certificaten kunnen dan worden geëxporteerd, voorzien van een wachtwoord, en als bijlage naar de gewenste persoon wiens mail adres aan het certificaat is verbonden worden verzonden.

Deze optie is in principe ongewenst. Alle gebruikers die meedoen, doen er verstandig aan om elk een rootcertificaat en onderliggende TLS clientcertificaten te maken. Alle gebruikers moeten dan elkaar hun eigen rootcertificaat toesturen, en de ontvangers moeten deze in het certificatenbeheer in de sectie Organisaties importeren. De volgende stap is elkaar een email toezenden, die met de eigen sleutel is ondertekend. Als de ontvanger het rootcertificaat van de verzender heeft geïmporteerd in het certificatenbeheer, zal de publieke sleutel automatisch in de sectie Personen worden geïmporteerd.

Het is dan ook een absolute vereiste om het rootcertificaat die men ontvangt te controleren of de digitale vingerafdruk overeenkomt met het origineel.