Hm, aber das ursprüngliche "Firmenname-rootCA" stammt ja aus "Vertrauenswürdige Stammzertifizerungsstellen"?!

Kann ich denn mit dem was ich habe, also einen firmenweit per Active Directory (Windows-Domäne) bekannten CA, überhaupt unsere internen Setup.exe-Dateien so signieren, dass es blau wird und ohne Herausgeber: Unbekannt?

Oder muss ich unseren Admin bitten, ein daraus erstelltes Entwicklerzertifikat per Gruppenrichtlinie zu verteilen?

Oder geht das so gar nicht und man kommt um so ein externes Drittanbieter-Zertifikat gegen Geld nicht drum rum?