Сертификат подписи кода не работает при развертывании с помощью GPO

Наш сертификат кодовой подписи от Symantec был преобразован в защищенный паролем pfx с полной цепочкой сертификатов, открытым и закрытым ключом.

Подписание с помощью signtool (версия 10.0.17763.0, x64) работает, когда сертификат вручную импортируется на сервер сборки (Windows Server 2012 R2), но не когда он передается с помощью объекта групповой политики из DC (Server 2012 R2)

В обоих сценариях:

• Полная цепочка сертификатов импортируется, и все сведения о сертификате на DC идентичны сертификату на сервере.

• На вкладке общего сертификата на сервере указано, что «у вас есть закрытый ключ, соответствующий этому сертификату»

Моя команда подписи такова:

C: \ Users \ myUser> "C: \ Program Files (x86) \ Windows Kits \ 10 \ bin \ 10.0.17763.0 \ x64 \ signtool.exe" sign / debug / v / a / sm / s Root / n "" / т http://timestamp.verisign.com/scripts/timstamp.dll MyApp.exe

Результат при выполнении после ручного импорта на сервер:

After EKU filter, 40 certs were left.
After expiry filter, 34 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 1 certs were left.

Результат при выполнении после отправки GPO на сервер:

After EKU filter, 40 certs were left.
After expiry filter, 34 certs were left.
After Subject Name filter, 1 certs were left.
After Private Key filter, 0 certs were left.
SignTool Error: No certificates were found that met all the given criteria.

В чем причина После фильтрации закрытого ключа осталось 0 сертификатов ?