WCF — Нужен ли сертификат службы для проверки подлинности клиентов?

Я думаю, что в моей ментальной модели проверки подлинности WCF есть пробел, надеюсь, что кто-то поможет мне заполнить ее.

Итак, я создаю службу WCF и хотел бы, чтобы клиенты аутентифицировались с помощью сертификатов и безопасности на уровне сообщений. Я бы хотел, чтобы служба проверила их с помощью цепного доверия, чтобы мне не нужно, чтобы каждый сертификат клиента был установлен в службе. На данный момент я не заинтересован в том, чтобы служба аутентифицировалась для клиента.

Вот мое понимание того, что для этого необходимо:

1. Клиенту нужен сертификат, подписанный центром сертификации, которому доверяют на стороне службы.
2. Для этого ЦС требуется установленный список отзыва сертификатов.
3. В конфигурации службы должна быть включена безопасность сообщений,укажите clientCredentialType="Certificate" и цепочку доверия для проверки сертификата клиента.
4. Конфигурация клиента должна иметь включенную безопасность сообщений, указать clientCredentialType="Certificate" и поведение конечной точки, которое сообщает, как найти сертификат клиента в хранилище.

Клиент делает запрос к сервису, отправляя свой сертификат. Служба видит, что сертификат клиента подписан доверенным центром сертификации, и пропускает запрос.

Теперь все пошаговые руководства по этому процессу, которые я нашел, также включают шаг создания сертификата для службы. Никто из них не объясняет, для чего это нужно, что меня бросает. Зачем нужен сертификат службы, если я просто хочу аутентифицировать клиентов?