前回の日記で、サーバでの認証のためにサーバにクライアントの証明書を入れておかなければいけないというのがどうにも腑に落ちない（現実的に、全クライアントの証明書を入れるという運用は無理だろう）と思い、ｐ＆ｐの文書を見たところ、やはりX.509の場合は証明書のチェーンが辿れれば良さそうだということがわかった。ただ、自分のテストしている環境では、テスト用のルート証明書を信頼済みルートストアに入れているので、それで問題ないはずなんだけど。
で、この２週間ほど手づまりだったのだが、色々と試してみたところ、WSEの設定に問題があることがわかった。
サーバ側のweb.configで、/configuration/microsoft.web.services3/security/x509/@revocationMode="Offline"にしておくとチェックに失敗しないために思った通りの動作になった。

ちなみに、この設定は証明書の失効チェックを外部に対しては行わないというもの。