Сертификат подписи кода не работает при развертывании с помощью GPO

Наш сертификат кодовой подписи от Symantec был преобразован в защищенный паролем pfx с полной цепочкой сертификатов, открытым и закрытым ключом

Подписание с помощью signtool (версия 10.0 .17763.0, x64) работает, когда сертификат вручную импортируется на сервер сборки (Windows Server 2012 R2), но не когда он отправляется с помощью объекта групповой политики с DC (Server 2012 R2)

В обоих сценариях:

• Импортируется полная цепочка сертификатов и все сертификаты сведения о DC идентичны сертификату на сервере.

• Общая вкладка сертификата на сервере утверждает, что «У вас есть личный ключ, соответствующий этому сертификату '

Моя команда подписи такова:

C: \ Users \ myUser> "C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ 10.0.17763.0 \ x64 \ signtool .exe "sign / debug / v / a / sm / s Root / n" "/ t http://timestamp.verisign.com/scripts/timstamp.dll MyApp.exe

Результат, когда выполняется после импорта вручную на сервер:

After EKU filter, 40 certs were left.
After expiry filter, 34 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 1 certs were left.

Результат при выполнении после отправки объекта групповой политики на сервер:

After EKU filter, 40 certs were left.
After expiry filter, 34 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 0 certs were left.
SignTool Error: No certificates were found that met all the given criteria.

Какова причина После фильтрации закрытого ключа 0 сертификатов осталось ?