Autenticação SSL comparando impressão digital de certificado?

Pergunta para todos os especialistas em SSL que estão por aí:

Temos um dispositivo embutido com um pequeno servidor web, e podemos instalar nossos próprios certificados auto-assinados SSL. O cliente está escrito em .NET (mas isso não importa muito).

Como posso autenticar o dispositivo no .NET? É o suficiente paracomparar a impressão digital do certificadocontra uma entrada conhecida no banco de dados?

Meu entendimento é que a impressão digital é um hash de todo o certificado, incluindo a chave pública. Um dispositivo fingindo ser meu dispositivo poderia, é claro, enviar o mesmo certificado público, mas não poderia saber a chave privada, certo?

Ou preciso criar minha própria cadeia de confiança, criar meu próprio certificado raiz da CA, assinar o certificado do servidor da Web e instalá-lo no cliente?

questionAnswers(3)

yourAnswerToTheQuestion