Manchmal ist es gut zu wissen, was nicht hilft - hier der Parameter "/as".
Als Hinweis, ich trenne SHA1 von SHA256 - arbeite also mit zwei unterschiedlichen Zertifikaten und signiere entsprechend nur im jeweiligen SHA-Level.
Es gibt da eine Antwort in der Diskussion, die m.E. ein Ansatz sein könnte:
Zitat:
Nach dem ich das andere Zertifikat (DIMOWA®) installiert hatte, wurde die EXE (dSRG.exe) richtig erkannt.
Lässt sich denn mit dem DIMOWA Zertifikat immer eine signierte Exe erstellen? Falls ja, scheint die Signierung mittels Signtool und die Batch zu stimmen.
Wenn es dann mit dem anderen Zertifikat nicht klappt, würde ich eher dort ansetzen - so das Zertifikat in Ordnung ist, wovon ich ausgehe.
Dem Tipp von Assarbad mit der Auswahl folgend:
Zitat:
Was darauf hindeutet, daß signtool womöglich ein anderes Zertifikat zum Signieren aussucht, als du dachtest (mit höheren Verbosity-Leveln kannst du schauen was genau signtool da macht). Schließlich hat signtool ganz eigene Regeln welches Zertifikat genommen wird (bspw. mit der längsten Gültigkeit) wenn man nur den Namen benutzt um das Zertifikat zu identifizieren. Stattdessen sollte man eigentlich den Fingerabdruck des Zertifikats benutzen, muß dann aber das entsprechende Skript alle paar Jahre aktualisieren.
Zumindest würde da ein möglicher Fehler bei der Auswahl des Zertifikates wegfallen.