Так ничего и не нашел: пробовал некие third party решения, но они не работают на Windows 10. Решил ситуацию покупкой вот такого
USB token-а на Amazon-е (купил used за $9.65).
Генерация пары ключей и reissue сертификата на сайте Certum прошла успешно, и я получил возможность создать *.pfx ключ для подписи приложений (при этом требуется этот самый hardware token).