Na ja, beim Signieren geht es ja um Vertrauen, dein Kunde "unterschreibt" ja quasi deine Exe damit andere dieser vertrauen.

Würde er sein Zertifikat an dich weitergeben, wärest du in der Lage in seinem Namen beliebige andere Programme (auch Trojaner oder Viren) in seinem Namen zu "unterschreiben". Alle Anwender würden dem vertrauen und im Schadenfall deinen Kunden verhauen . Ehrlich gesagt hätte ich auch was dagegen.

Das Problem ließe sich auch nicht aus der Welt schaffen, wenn dein Kunde eine Möglichkeit schaffen würde, dir das Signieren deiner Anwendung irgendwie zu ermöglichen. Es sei denn er prüft z.B. den Name der Exe. Aber selbst dann könntest du beliebigen Code mit dem richtigen Namen der Exe signieren lassen. Also auch nicht gut.

Du könntest den Spieß rumdrehen. Stelle deinem Kunden eine Build-Umgebung zur Verfügung und lasse ihn die Exe und das Setup selbst bauen. Du musst dann nur noch den Quellcode zur Verfügung stellen.