Certyfikat na USB od Certum i podpisywanie EXE

W zeszłym roku jakoś mi się to udało w tym roku poległem.
Mam kupiony certyfikat do podpisywania kodu oraz klucz na urządzeniu USB.

W zeszłym roku jakoś udało mi się wygenerować plik PFX z tych certyfikatów (z otrzymanych plików PEM i CER - nie mam dostępu klucza prywatnego)
a potem mogłem aplikacje podpisywać komendą:

signtool.exe sign /f my-cert.pfx /p mojeHaslo aplikacja_do_podpisania.exe

Dzisiaj nie mam zielonego pojęcia jak wygenerować z tego certyfikatu plik pfx (podkreślam, że nie mam dostępu do private.key).
Dodam, że nie mogę tego pfx wyeksportować bo ta opcja nie jest dostępna ani w GUI ani z poziomu powershell.

Pytanie brzmi: jak inaczej podpisać plik exe?

Dodam też, że próbowałem zgodnie z instrukcją od Asseco (niech ich ch... strzeli) t.j:
https://www.files.certum.eu/documents/manual_pl/CodeSigning-skladanie-podpisu-uzywajac-narzedzi-Singtool-i-Jarsigner_v.2.3.pdf

Noeie da się. Od czerwca 2023 znieniiły się przepisy w kwestii podpisywania kodu, i od tego czasu można podpisywać tylko certyfikatem znajdującym się na fizycznym urządzeniu zabezpieczającym lub w chmurze

Paweł Dmitruk napisał(a):

Noeie da się. Od czerwca 2023 znieniiły się przepisy w kwestii podpisywania kodu, i od tego czasu można podpisywać tylko certyfikatem znajdującym się na fizycznym urządzeniu zabezpieczającym lub w chmurze

Czego się nie da?
Przecież napisałem, że klucz mam na fizycznym urządzeniu USB - nawet zdjęcie dołączyłem żeby nie było wątpliwości jakie to dokładnie jest urządzenie.
Problem był w tym jak wygenerować PFX nie posiadając dostępu klucza prywatnego bo niestety metoda z dokumentacji/pomocy od Asseco nie zadziałała.

No i udało się:

certutil -exportpfx -user My "MOJA ORGANIZACJA" my-cert.pfx