Hier musst Du unterscheiden, WO Du Deine Software einsetzen willst. Ein Zertifikat identifiziert irgendjemanden bzw. irgendetwas, also z.B. Dich! Ein Zertifikat wird von einer Zertifizierungsstelle ausgestellt (Certification Authority, CA). Microsoft trägt direkt bei der Windows-Installation eine ganze Reihe (kommerzieller) CAs als Vertrauenswürdig ein. Dies siehst du mit dem Tool "certmgr.msc", dort unter "Vertrauenswürdige Stammzertifizierungsstellen". Aber ein Personenzertifikat von diesen kommerziellen Anbietern kostet relativ viel Geld.

Mit geeigneter Software kannst Du Dir eine eigene CA erstellen. Aus dieser CA erstellst Du Dir dann ein Zertifikat, ausgestellt auf Deinen Namen. Im Endeffekt hast Du drei Dateien. Das Zertifikat der CA, Dein Zertifikat und Deinen privaten Schlüssel. Das CA-Zert importierst Du in den Zweig "Vertrauenswürdige Stammzertifizierungsstellen", sobald das dort eingetragen ist, vertraut Dein Windows Dir bedingungslos Dein eigenes Zert kannst Du auch unter "Eigene Zertifikate" installieren, dann kann SignTool.exe direkt darauf zugreifen.

Wenn Du also nur für Dich Software schreibst und ein paar Freunde, musst Du denen halt dein CA-Zert mitgeben und ihnen sagen, dass sie das einmal importieren müssen. Für einen größeren Nutzerkreis wirst Du um ein kommerzielles Zertifikat nicht herumkommen.

Wie bekommst Du nun Deine CA? Unter Linux gibt es eine TinyCA, eine kleine grafische Oberfläche für OpenSSL. Prinzipiell kann man auch alles direkt an der Kommandozeile mit OpenSSL machen, davon gibt es auch ein Windows-Binary. Man kann sich aber auch ins Knie schießen und danach Wiener Walzer tanzen. Ist genauso befriedigend. Man könnte auch einen Windows Server kaufen, den installieren und dort die Microsoft CA einrichten. Aber ich glaub, dann wäre ein kommerzielles Zertifikat billiger.

Soweit mal ein ganz kurzer Einblick in das Thema Zertifikate.

Gruß,
SirTwist