D>Так получилось подписать? Я попытался, сходу не вышло. Как можно понять нужен ключ /as , но с ним у меня выдает ошибку (signtool пришлось взять из Windows SDK 8.1) .

да, подписать можно. инструкция вот здесь. если вкратце, то надо скачать новый signtool (там есть ссылка или можно взять из Win SDK), а потом сделать вот это:

signtool.exe sign /f MySHA1Cert.pfx /p <PFX password> /t http://timestamp.comodoca.com /v foo.exe
signtool.exe sign /f MySHA256Cert.pfx /p <PFX password> /fd sha256 /tr http://timestamp.comodoca.com/?td=sha256 /td sha256 /as /v foo.exe

я попробовал подписать оба раза используя новый сертификат — мою абсолютно чистую седьмую винду это не устроило, пока я не полез в свойства файла. потом она скачала что-то и все стало ок. не очень чистая винда спокойно приняла такой подписанный файл. видимо с каким-то из апдейтов что-то приходит.

тогда я переключился на подпись как описано по ссылке — с двумя разными сертификатами. с sha-1 использовал старый, а с sha-256 — новый. такой подписанный файл моя чистая седьмая винда считает нормальным. но как было справедливо замечено выше, этому сертификату осталось жить 14 дней. наверное потом уже подписать не получится — файл будет невалиден.

ksoftware ответили, сказали, что они еще не сталкивались с какими-либо проблемами такого рода с новыми сертификатами, попросили прислать проблемный файл.

после внимательного перепрочтения всяких статей в инете, прихожу к выводу, что для WinXP SP3+ можно вообще не заморачиваться с sha-1, но винда должна быть более-менее обновленной, чтобы понимать sha-256. с семеркой у меня это пока сходится, с XP пока не очень. но сколько ее той XP...

буду держать в курсе.