Зависит от настроек и клиента, и сервера. Обычно есть некий централизованный CA, из которого выдаются и серверные, и клиентские сертификаты, но в общем случае они могут быть из разных CA и не совпадать.
Например, я какое-то время использовал конфигурацию, где у сервера был TLS-сертификат из обычного публичного центра сертификации, а клиенту необходимо было предоставить сертификат из приватного CA. Такая схема удобна из-за того, что на стороне клиента не нужно импортировать сертификат CA, а достаточно только самого сертификата, без цепочки сертификации. Меньше проблем доверия, лучше безопасность.