2. Ich kenne ksign nicht, aber signtool kann man angeben, dass es das entweder aus dem Certificate Store (per Hash oder Teil des Namens) oder aus einer Datei (deine pfx) nimmt. Muss also nicht die exportierte Datei sein, die würde ich aus Sicherheitsgründen "wegschließen" (TrueCrypt-Archiv auf Backupmedium o.ä.), selbst wenn sie auch passwortgeschützt ist.

3. Diverse Microsoft-Abkommen schreiben eine Signierung vor. Treiber müssen inzwischen nicht nur signiert, sondern auf SecureBoot-Systemen sogar von MS co-signiert sein.

Ich lese das übrigens Und ich kenne von unseren Anwendern, dass die auch viel Wert darauf legen, haben wir direkt gemerkt, als Updates einmal ungeschickt signiert waren.