So, ich habe jetzt mal meine angedachte Lösung testweise implementiert, wobei ich mich freuen würde, wenn jemand sich das mal ansehen könnte. Könnte ja evtl. auch eine Blaupause für eine eigene Lösung sein. Oder Ihr macht mir klar, dass ich auf dem Holzweg bin )

Ich habe jetzt mal ein Programm nicht als Setup.exe auf meine HP gelegt, sondern als Setup_HTMLEditor.zip.
Das ist kein offizieller Link, poste ich nur hier:

https://www.hastasoft.de/Setup_HTMLEditor.zip

Diese Datei runter laden, alles in einen Ordner entpacken und die "Setup.exe" starten. Die Setup.exe ist sozusagen meine "Ewigkeits-Setup.exe", weil ich die nie mehr ändern muss. Die habe ich jetzt noch mit dem KSoftware-Zertifikat signiert und mit dieser Datei hat ja Windows keine Probleme (auch wenn das Zertifikat zeitlich abgelaufen ist), sollte also ohne Probleme mit "blauem Schild" und verifiziertem Herausgeber starten.

Die Setup.exe holt sich aus der Setup_Resources.dll die benötigten Setupdateien. Die DLL ist mit meinem selbst ausgestelltem Zertifikat signiert, damit mir keiner da was anderes unterschieben kann (wird auch überprüft). Während des Setups bekommt der User das Angebot das Hastasoft Stammzertifikat auf seinem PC zu installieren (man muss die Checkbox aktivieren).

Wenn man den Hilfe-Schalter drückt, bekommt man auch den Hinweis auf die

https://www.hastasoft.de/Zertifikate.htm

(auch noch kein offizieller Link), wo man sich die Informationen zum Stamm- und zum Codesigning Zertifikat ansehen kann.

Das kann man dann vergleichen mit dem Fingerprint, den Windows bei seiner Warnung ausgibt, dass ein Stammzertifikat eines unbekannten Herstellers auf dem PC installiert werden soll.

Eigentlich alles ganz transparent und sicher.

Oder was meint Ihr?

Die Installation funktioniert auch ohne Installation des Stamm-Zertifkats, man kann auch alle Programme ausführen. Aber das eigene, selbst erstellte Zertifikat in "HTMLEd.exe" kann man eben nur verifizieren, wenn man das Hastasoft Stamm-Zertifkat auf dem PC installiert hat.