Il certificato deve essere registrato sulla macchina che consulta il sito, oppure validato da un authority se recuperato altrove.
Ma se l'API è confinata nella rete, qual è l'utilità all'origine di usare HTTPS?
Al netto di questo, come predetto, è necessario una Certification Authority che indichi il certificato come affidabile, che sia pubblica o privata (vedi questa introduzione sul tema, ma trovi altre info con una ricerca in rete o chiedendo a ChatGPT).