È un argomento che conosco come le mie tasche figurati.
Stiamo parlando di un server che autenticherà il client se vedrà che il certificato l'ha firmato LUI! Come puoi pensare che possa firmarlo qualcun altro? O che sia self-signed.... allora chiunque potrebbe accedere al server..

Tutto il discorso che hai scritto su verisign serve per ottenere un certificato per un server, di modo che i client possano essere sicuri che il server sia fidato (il suo certificato ha la firma di verisign, e con la chiave pubblica di verisign posso verificarlo). Ma qui si sta parlando di certificati client usati per l'autenticazione con uno specifico server (WCF Service - TWO WAY SSL). In questi casi è quel server che firma i certificati in modo che solo lui ha il controllo di chi si potrà mai connettere al servizio. Non si usa nè la firma di terzi nè la self-signed, ma la propria.