Die RootCA (publickey) MUSS auf allen Rechnern installiert sein, wo das
UAC aufpoppt.
Das Zert. für die Signierung muss nirgends hin und kann bei dem Entwickler bleiben.
Niemand anderes braucht irgendetwas von dem Zertifikat.
Das was benötigt wird, ist in der Signatur an der Exe enthalten. Da steht z.B. drin, wer das Zert für den Entwickler ausgestellt hat.
Genau das ist ja die CA und daher kann ein PC die Signatur prüfen, weil die CA bekannt ist (sein sollte).
Wenn du Windows AD einsetzt, dann kannst du dort auch eine CA erstellen bzw. Zertifikate erstellen (ohne makecert.exe). Dann hast weniger Ärger/Aufwand.
Du kannst auch ohne AD-CA die "makecert.exe" Zertifikate via GPO auf alle Clients verteilen.
Setzt aber AD vorraus - lose Client ohne Domänen Mitgliedschaft müssen per Hand mit dem public key der CA versorgt werden.
Ja, du bekommst das Blau wie im Video, wenn die CA bekannt ist.