Как создать подписанный деинсталлятор с помощью InnoSetup (ISCC.exe) и smctl.exe DigiCert?

Я использую smctl.exe для подписи настольного приложения на нашем сервере сборки. Я вызываю выполнение iscc.exe с моим файлом *.iss, включая параметр /S, следующим образом:

/Dsigning=true /Dbuildworkingdir=${bamboo.build.working.directory} ${bamboo.build.working.directory}\150_Software\10_SW\InnoSetup\EPCSetup.iss "/Ssigntool=smctl.exe sign --keypair-alias key_XXXXXXXX --input $f"

В результате получается правильно подписанный файл «setup.exe».

Это работает, пока в моем файле *.iss есть эта строка:

SignedUninstaller=no

Как только он переключится на SignedUninstaller=yes, сборка не удастся.

Вот соответствующий отрывок из «Бамбукового журнала»:

build   27-Sep-2023 08:09:20    Preparing Setup program executable
build   27-Sep-2023 08:09:20       Updating version info (SETUP.E32)
build   27-Sep-2023 08:09:21       Running Sign Tool signtool: C:\Program Files\DigiCert\DigiCert Keylocker Tools\smctl.exe sign --keypair-alias key_XXXXXXXXX --input "D:\Atlassian\ApplicationData\Bamboo\local-working-dir\360449\CFN-DIG-JOB1\150_Software\10_SW\InnoSetup\Output\uninst.e32.tmp"
build   27-Sep-2023 08:09:24    There were no files found for signing
error   27-Sep-2023 08:09:24    Error in D:\Atlassian\ApplicationData\Bamboo\local-working-dir\360449\CFN-DIG-JOB1\150_Software\10_SW\InnoSetup\EPCSetup.iss: The Sign Tool command returned an exit code of 0, but the file does not have a digital signature.
error   27-Sep-2023 08:09:24    Compile aborted.

Мои исследования показали, что smctl.exe использует для подписи Microsoftsigntool.exe. Signtool.exe может подписывать только исполняемые файлы.

Теперь я не могу идти дальше. InnoSetup хочет подписать «uninst.e32.tmp», но smctl.exe отказывается. Кто-нибудь знает об этой проблеме? Что я могу сделать? И еще: почему InnoSetup пытается подписать файл *.tmp?

Любые подсказки будут очень оценены.