При двустороннем рукопожатии TLS, почему от клиента требуется предоставить закрытый ключ

Question

1. В большинстве онлайн-источников мне говорили, что при двустороннем TLS клиент должен предоставить сертификат для проверки сервером. В моем случае устройство получает сертификат от CA, но когда устройство пытается установить sh tls-соединение, требуется pfx, который будет содержать закрытый ключ от устройства.
2. Я использовал openssl для преобразования pfx в .cert и .key. Используя только часть .cert в POSTMAN, мне не удалось подключиться к серверу с 403. Только когда я включил и .key, и .cert, соединение TLS 1.2 было установлено. Для обычного TLS (одностороннего) закрытый ключ никогда не будет отправлен с сервера, но почему клиенту нужно отправлять pfx.