Estou usando o cartão inteligente para autenticar o usuário. Eu tenho um serviço de autenticação (SecurityTokenService), que lida com a lógica de autenticação no servidor.

estou usandoX509Certificate2.Verify () para validar o certificado. Como essa API pode verificar se o certificado é válido / revogado ao entrar em contato com a Autoridade de Certificação (CA), preciso de certificado raiz no servidor?

Podemos evitar ter certificado raiz no nosso computador local? Ou certificado raiz é sempre obrigatório?