PKI, mama lui de ungur, si MS CryptoAPI

am un certificat (.cer) de la un vendor pe care CA-ul respectiv l-a revocat.in rest, certificatul este perfect valid.certificatul e pentru code signing.acuma,pan s-or razberi ei daca le trebe sa prelungeasca relatia cu CA-ul sau nu, ca sa nu am ghemor in timpu developmentului ("certificate cannot be verified up to a trusted CA"), fac un root al meu cu care il semnez pe .cer aista mentionat mai sus.root-u l-am facut, am .cer si .pvk respective.acuma,cum dracu semnez io .cer acela cu care e semnat codul? cu signtool.exe din SDK cio-ta nu se primeste: nu-i place .pvk a rootului, creat cu makecert.exe. zice ca nu contine certificat...