Frage an alle SSL-Experten:

Wir haben ein eingebettetes Gerät mit einem kleinen Webserver und können unsere eigenen selbstsignierten SSL-Zertifikate darauf installieren. Der Client ist in .NET geschrieben (aber das ist nicht so wichtig).

Wie kann ich das Gerät in .NET authentifizieren? Ist es genug zuVergleiche den Fingerabdruck des Zertifikatsgegen einen bekannten Eintrag in der Datenbank?

Nach meinem Verständnis ist der Fingerabdruck ein Hash des gesamten Zertifikats, einschließlich des öffentlichen Schlüssels. Ein Gerät, das sich als mein Gerät ausgibt, könnte natürlich das gleiche öffentliche Zertifikat senden, aber es konnte den privaten Schlüssel nicht kennen, oder?

Oder muss ich eine eigene Vertrauenskette aufbauen, ein eigenes CA-Stammzertifikat erstellen, das Webserverzertifikat signieren und dieses auf dem Client installieren?