Einige VPN Gateways erwarten bei einer mittels RSA-Signature authentifizierten IPSec-Aushandlung, dass die zu übermittelnden Zertifikate über einen „Certificate Request“ (CERTREQ) von der Gegenstelle angefragt werden. Dies ermöglicht unter anderem eine Auswahl des zu verwendenden Zertifikats, sofern das Gateway mehreren CAs vertraut.
Um den Aufbau zu solchen VPN-Gateways zu ermöglichen, senden VPN-Router beim Verbindungsaufbau einen entsprechenden CERTREQ, der den Herausgeber des im Router gespeicherten Root-Zertifikates enthält.