我之前也碰到过一模一样的情况——同一套EV签名命令能完美搞定exe和dll文件，一到MSI安装包就炸出SignTool Error: An unexpected internal error has occurred. Error information: "Error: SignerSign() failed." (-2147024885/0x8007000b)这个报错，确实挺挠头的。这个错误本质是系统调用时的格式不匹配错误，结合MSI的特殊数据库结构，咱们可以从这几个方向逐一排查：

• 先确认MSI文件本身没问题
  MSI是基于数据库格式的安装包，要是文件本身损坏、结构异常，SignTool在读取时就会触发这个错误。你可以用Windows Installer自带的命令验证完整性：

  msiexec /a your_installer.msi /qb TARGETDIR=C:\temp\msicheck
  

  如果这个命令执行报错，说明MSI本身有问题，得重新生成安装包，或者用Orca工具打开MSI检查异常的表条目。

• 调整SignTool的签名参数
  虽然签exe/dll的命令能用，但MSI可能需要适配特定参数：

  • 强制指定哈希算法为SHA256（部分旧版MSI默认的哈希算法和EV证书不兼容）
  • 明确添加时间戳参数（EV证书通常强制要求时间戳，缺失也可能触发异常）
    示例命令：

  signtool sign /f your_ev_cert.pfx /p your_cert_password /fd SHA256 /tr http://timestamp.digicert.com /td SHA256 your_installer.msi
  

  如果你的EV证书存储在硬件令牌里，还要确保指定正确的加密服务提供商和密钥容器：

  signtool sign /csp "eToken Base Cryptographic Provider" /kc "Your EV Key Container Name" /fd SHA256 /tr http://timestamp.digicert.com /td SHA256 your_installer.msi
  

• 排查系统权限和服务异常
  0x8007000b也可能是权限不足或Windows Installer服务异常导致的：

  • 用管理员权限打开命令提示符再执行签名命令
  • 重启Windows Installer服务试试：

    net stop msiserver
    net start msiserver
    

  • 暂时关闭杀毒软件/防火墙，部分安全工具会拦截SignTool对MSI文件的写入操作

• 验证EV证书的兼容性
  虽然证书能签exe/dll，但要确认它包含Code Signing的增强密钥用法（EKU），且处于有效期内未被吊销。可以用以下命令查看证书详情：

  certutil -dump your_ev_cert.pfx
  

内容的提问来源于stack exchange，提问作者codefire