В моей компании есть оболочка VBScript, которая автоматизирует процесс подписи и проверки. VBScript, signtool.exe, capicom.dll и PFX (содержащие цепочку сертификатов и закрытый ключ) находятся в защищенном паролем сетевом ресурсе.
Когда кому-то нужно подписать двоичный файл, он может просто перетащить файл на VBScript; и это обрабатывает остальное. Хотя процесс сборки стал практически полностью автоматизированным, он вышел из употребления.
С другой стороны, это VBScript. Таким образом, пароль к закрытому ключу виден, но это было причиной для защиты паролем общего ресурса.
Добавление
Вы можете сделать что-то похожее, когда он будет подписывать любые файлы в папке / общем ресурсе и настраивать запланированные задачи Windows для выполнения сценария каждые несколько минут. После подписания необходимо будет переместить файлы в другую папку, но это достаточно просто. Это позволит вам ограничить доступ к сценарию, сертификату, закрытому ключу и папке, в которой подписаны файлы.