Dado que o dispositivo geralmente não tem um nome de domínio público, você não pode obter um certificado de uma autoridade de certificação pública para ele. E, mesmo que tenha um nome de domínio público, ele geralmente está no controle do cliente e não você, portanto você não pode obter um certificado público para ele.
A abordagem comum é criar um certificado auto-assinado exclusivo para cada dispositivo e esperar que o usuário adicione uma exceção de certificado. Além disso, uma maneira de o cliente fazer o upload de seu próprio certificado deve ser fornecida para que o cliente possa integrar melhor o dispositivo à sua própria infraestrutura.