使用signtool.exe自动化代码签名，但不存储证书或密码。

另一种方法是将证书导入每个开发人员的私有证书存储中，然后像这样使用 signtool 的 thumbprint：

signtool ... /sha1 'hex thumbprint' ...

在导入证书时只需要密码，构建过程中不需要。

我以前使用过的一种解决方案与@ Mikko的答案类似，但分为两个部分：

1. 一个本地的非受控脚本，只是设置包含密码的环境变量的文件。这是你给每个开发人员的文件。

@echo off
set SIGNPASS=whatever

一个受源代码控制的脚本，调用之前的脚本并进行实际签名。

@echo off
setlocal
call "C:\local\signing_password.bat"
"C:\toolpath\signtool.exe" sign /f "c:\certpath\cert.p12" /p "%SIGNPASS%" "%1"
endlocal

setlocal/endlocal语句可以确保在手动运行脚本时，密码不会泄露到环境中。

"%1"是在Post Build步骤中作为脚本参数传递的可执行文件路径。

我不能对Daniel Schlößer的回答进行补充——在我看来，那确实是最好的答案。一旦证书被添加到证书存储中，就不需要密码和pfx来签名。
然而，我想要添加以下评论：

1. 证书必须正确安装在证书存储中（我使用了.pfx文件和密码）
2. signtool.exe必须支持/sha1命令行选项（我使用的是10.0.16299版本）
3. 对于我的证书，我花费了很长时间才意识到我需要使用/sm开关来指定“机器存储”而不是“用户存储”
4. Thumbprint可以在证书属性的详细信息选项卡中找到
5. 尽管我读过另一篇文章，但Thumbprint哈希不区分大小写

下面是我用于SHA256的命令行：

signtool.exe sign /sm /debug /v /fd sha256 /tr http://timestamp.comodoca.com/?td=sha256 /td sha256 /sha1 65cc2e77dc52b99d46e7caae2377bb5d7d9384b2 "D:\app.msi"

您可以在项目目录中添加一个批处理文件，例如 sign.bat。

@echo off
<path>\signtool.exe /f cert.p12 /p "password" "compiled.dll"
echo Signed with certificate

将该文件添加到你的.gitignore中，但不要将其添加到Visual Studio项目中。
在项目属性中，将该批处理程序作为后构建事件调用。

作为这些技术的新替代品，我创建了一个代码签名服务，个人和组织可以部署到他们的Azure环境中，帮助自动化代码签名，同时确保私钥永远不离开Key Vault的HSM。有关详细信息，请查看项目页面：https://github.com/onovotny/SignService。

当我在VS2015中以"$(SIGNPASS)"的形式提供密码时，从signtool调用对我不起作用，但是如果使用符号"%SIGNPASS%"则可以正常工作。

检查在VS输出窗口中如何组成完整的signtool命令，命令看起来相同，但在底层有一些差异。

记得双引号引用路径，以防止路径包含空格。