Tenho um IIS configurado para aceitar apenas conexões de clientes com um certificado SSL. Eu tenho um serviço WCF em execução no IIS. Eu tenho uma autoridade de certificação nos servidores CAs confiáveis. Agora, quando um cliente se conecta ao serviço, o IIS valida que o certificado do cliente foi emitido por uma das minhas CAs confiáveis? Ou tenho que fazer a validação no meu serviço WCF?

Também se eu quiser o serviços aceitar conexões de uma CA específica (nem todas as minhas CAs confiáveis, apenas uma), eu precisaria fazer a verificação no código de serviço?