пример WCF\Certif из Examples в SDK
Сгенерил и установил с помощью тестовой СЦ 2 сертификата (для пользователя и сервиса), установил корневой сертификат

Прописал один сертификат в Certif.SelfHost.35\SelfHost.cs, другой в Certif.Client.35\app.config

SelfHost стартует нормально, а клиент отваливается с ошибкой "Подлинность вызывающего пользователя не была проверена службой", inner exception "Запрос маркера безопасности не удалось удовлетворить из-за сбоя проверки подлинности"

Что я могу делать не так?

Корневой установлен.

CAPI вываливает такую ошибку

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
<Provider Name="Microsoft-Windows-CAPI2" Guid="{5bbca4a8-b209-48dc-a8c7-b23d3e5216fb}" />
<EventID>11</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>11</Task>
<Opcode>2</Opcode>
<Keywords>0x4000000000000003</Keywords>
<TimeCreated SystemTime="2014-08-07T13:07:11.715528300Z" />
<EventRecordID>723</EventRecordID>
<Correlation />
<Execution ProcessID="644" ThreadID="1516" />
<Channel>Microsoft-Windows-CAPI2/Operational</Channel>
<Computer>ISM_AEGOROV</Computer>
<Security UserID="S-1-5-21-3218496776-4194177399-2184147422-1007" />
</System>
- <UserData>
- <CertGetCertificateChain>
<Certificate fileRef="64548BFCF66E13F70BB785AC4B76F6298E7A2280.cer" subjectName="SMA_Server" />
- <ExtendedKeyUsage>
<Usage oid="1.3.6.1.5.5.7.3.1" name="Проверка подлинности сервера" />
</ExtendedKeyUsage>
<Flags value="0" />
<ChainEngineInfo context="custom" urlRetrievalTimeout="PT15S" />
- <CertificateChain chainRef="{468C51D1-57C2-4FA5-ACE2-9DF542B29525}">
- <TrustStatus>
<ErrorStatus value="10" CERT_TRUST_IS_NOT_VALID_FOR_USAGE="true" />
<InfoStatus value="100" CERT_TRUST_HAS_PREFERRED_ISSUER="true" />
</TrustStatus>
- <ChainElement>
<Certificate fileRef="64548BFCF66E13F70BB785AC4B76F6298E7A2280.cer" subjectName="SMA_Server" />
<SignatureAlgorithm oid="1.2.643.2.2.3" hashName="GOST R 34.11-94" publicKeyName="GOST R 34.10-2001" />
<PublicKeyAlgorithm oid="1.2.643.2.2.19" publicKeyName="GOST R 34.10-2001" publicKeyLength="512" />
- <TrustStatus>
<ErrorStatus value="10" CERT_TRUST_IS_NOT_VALID_FOR_USAGE="true" />
<InfoStatus value="102" CERT_TRUST_HAS_KEY_MATCH_ISSUER="true" CERT_TRUST_HAS_PREFERRED_ISSUER="true" />
</TrustStatus>
- <ApplicationUsage>
<Usage oid="1.3.6.1.5.5.7.3.2" name="Проверка подлинности клиента" />
</ApplicationUsage>
<IssuanceUsage />
</ChainElement>
- <ChainElement>
<Certificate fileRef="5520FEFFBFA3ADBA556C676F2852DA69F6E3514D.cer" subjectName="Test Center CRYPTO-PRO" />
<SignatureAlgorithm oid="1.2.643.2.2.3" hashName="GOST R 34.11-94" publicKeyName="GOST R 34.10-2001" />
<PublicKeyAlgorithm oid="1.2.643.2.2.19" publicKeyName="GOST R 34.10-2001" publicKeyLength="512" />
- <TrustStatus>
<ErrorStatus value="0" />
<InfoStatus value="10C" CERT_TRUST_HAS_NAME_MATCH_ISSUER="true" CERT_TRUST_IS_SELF_SIGNED="true" CERT_TRUST_HAS_PREFERRED_ISSUER="true" />
</TrustStatus>
<ApplicationUsage any="true" />
<IssuanceUsage any="true" />
</ChainElement>
</CertificateChain>
<EventAuxInfo ProcessName="lsass.exe" impersonateToken="S-1-5-21-3218496776-4194177399-2184147422-1007" />
<CorrelationAuxInfo TaskId="{98E42DDD-9F9D-4A19-A9A2-4E0DCE9F0ED6}" SeqNumber="3" />
<Result value="800B0110">Данный сертификат не подходит для такого использования.</Result>
</CertGetCertificateChain>
</UserData>
</Event>

Ошибка идентификации входящего сообщения. Ожидаемая идентификация удаленной стороны в DNS (localhost) не соответствует указанному удаленной стороной DNS-имени (SMA_Server). Если это надежная удаленная сторона, то проблему можно устранить, явно указав идентификацию в DNS "SMA_Server" в свойстве Identity элемента EndpointAddress при создании прокси для канала.

да, создал серверный сертификат с именем localhost и пример заработал