问Windows不喜欢已签名的MSI包

EN

我已经使用高级安装程序准备了我的MSI包，然后使用SignTool对它进行了签名

signtool sign /debug /f "cert.pfx" /fd SHA256
/p "<pass>" /t http://timestamp.comodoca.com/authenticode "<file.msi>"

但是，当其他用户通过web浏览器下载已签名的MSI并将其安装时，将出现以下消息：

​

​

我的MSI有下一个属性：

• 使用付费/商业证书生成的数字签名(Comodo)
• 时间戳
• 使用的是SHA-256而不是SHA-1，因为最后一个在最新的Windows中是不安全的

因此，的主要问题是下一个：

如果我用商业代码签名证书签名，为什么Windows不承认我签名的MSI？

PS

如果您对使用哪个版本的Windows感兴趣，那么答案是the latest Windows 10。关于列表中的最后一个选项，有一个有趣的链接，我将引用其中的一些文本：

自2016年1月1日起，Windows (version 7及更高版本)和Windows Server将不再信任使用SHA-1代码签名证书进行签名的新代码(例如，包含数字签名的文件)，该代码的值大于2016年1月1日。此截止日期适用于代码签名证书本身.