Цифровая подпись на любом предмете с использованием сертификатов, хранящихся в активном каталоге

Я хочу знать возможность выполнять подпись на записи данных (например, элемент рабочего процесса), используя сертификаты, хранящиеся в Active Directory.

Я предполагаю, что операция подписания будет такой: получить сертификат пользователя из активного каталога и сгенерировать подпись для подписи данных с ним. ==> "Как получить сертификат определенного пользователя?!"

и я предполагаю, что операция проверки будет такой: сравнить открытый ключ, хранящийся в подписи, со всеми открытыми ключами сертификатов в активном каталоге, до нахождения соответствующего, чтобы убедиться, что это проверенная подпись

Это правда, пожалуйста? я пропускаю реализацию проверки CRL? а доверяющий сертификат в windows Trust Store? где сохранить публичные ключи?