Win8PE_x86x64(EFI) compact(2017)

Если кратко, то есть доверенные Майкрософту корневые центры сертификации, чьи сертификаты в Windows по умолчанию валидные и которые уже встроены в ОС по умолчанию для подтверждения подлинности выданных ими сертификатов. Для разработчиков, которые хотят подписывать свой софт ЦС продают сертификаты после процедуры идентификации (т.е. к ним отправляются документы удостоверяющие личность или организацию, а они после проверки присылают сертификат подлинности). Стоимость сертификата для подписания софта примерно варьируется от 80-100$ до 400-500$ в год, в зависимости от ЦС и предоставляемых "плюшек". Т.е. подписанный таким сертификатом софт по умолчанию имеет подлинную подпись.
Но есть такое понятие, как самоподписанный сертификат (т.е. выданный не доверенным ЦС, а самим себе). Вот SignKeyGen как раз и генерирует такие сертификаты. По умолчанию такой сертификат в ОС не действительный. Что бы он стал действительным его надо вручную добавить в каталог сертификатов ОС.
По сути запись о том, что тот или иной сертификат есть в хранилище делается в реестре (по сути туда записывается весь сертификат с некоторыми служебными данными). Вот Cer2Bat как раз и "конвертирует" сертификат в формат, который можно добавить напрямую в реестр минуя менеджер сертификатов (которого в WinPE нет вообще) и избавляя от нескольких окон запроса подтверждения. Т.е. это по факту обман ОС.
С обычным софтом это прокатывает. С драйверами там ситуация по ходу другая и проверка подписи проходит по другому принципу. Я особо не разбирался.