Oh hatte mich verlesen.
Wir kaufen da aktuell immer noch unsere Authenicode Zertifikate - allerdings keine EV.
Das mit der Dongle-Pflicht ist mir auch neu.
Aktuellen haben wir die Zertifikate im Zert-Speicher der CI/CD Pipeline und werden bei Release-Builds ausgegraben.

Das Zert muss nicht zwingend in der Zertifikatsstore vom Windows. Du kannst auch eine Datei bei signtool angeben.
Wie das mit dem Dongle zusammen spielt, weiß ich nicht.