是否可以在不需要安装根证书的情况下验证 .NET 中的 XMLDSIG 签名

我想用XMLDSIG来验证.config文件是否没有被篡改。我还希望能够验证签名链，以便我可以信任签名。

我在链中有三个证书：

Root CA -> Intermediate Signing CA -> Signing Key

我检查文件是否使用中间 CA 颁发的密钥进行签名。

我想执行此操作，而无需在用户的 Windows 证书存储中安装任何证书。这些是自签名证书，因此并非每个用户都希望我将它们安装在他们的根存储中。我在根存储中安装它们没有问题。

我有原版.CER文件 - 它们包含在签名块中，我可以将它们包含在验证码中。我可以使用X509ChainPolicy.ExtraStore从中构建证书链。

如果证书未安装在根存储中，并且我验证了链，则X509Chain.Build返回false，并且链中有一个X509ChainStatusFlags.UntrustedRoot。

是否可以仅在此操作期间添加受信任的证书？