Vorab:
Ich habe mir dieses Video von generic angesehen:
https://www.youtube.com/watch?v=UhhaNX2zQwY

Darin beschreibt er, wie man sich lokal ein Zertifikat erzeugt und das auf seine Setup.exe anwendet.

Er reißt auch kurz an, dass man das mit dem Stammzertifikat der Firmen-Domäne machen könnte.
Jetzt wäre meine Frage: Wie geht das?

Unter Systemsteuerung -> Benutzerzertifikate verwalten -> Zertifkate - Aktueller Benutzer -> Vertrauenswürdige Stammzertifikate -> Zertifikate habe ich eine Auflistung ganz vieler Zertifikate.
Darunter ist auch eines das Ausgestellt für und Ausgestellt von "Firmenname-rootCA" als Eintrag hat (ja, Firmenname ist jetzt hier nur der Platzhalter).

Ist dies das im Video angesprochene CA-Ding und wie kann ich damit selbsterzeugte Setup.exe-Dateien signieren, damit die hier in der Windows-Domäne als signiert angezeigt werden?
Ich kann das nur als CER- oder P7B-Datei exportieren. PFX ist bei mir disabled.