Как я могу разрешить разработчикам подписывать код, но не брать сертификат, если они увольняются из компании?

Мы недавно приобрели сертификат для подписи кода, и я пытаюсь понять передовые методы хранения сертификата и предоставления к нему доступа разработчикам.

Могу ли я разрешить разработчикам подписывать свой код сертификатом, но не предоставлять им прямой доступ к PFX-файлу, который они могут позже взять с собой, если покинут компанию?

Моя первая мысль - попросить администратора установить сертификат на каждую машину разработчика, но снять флажок "Отметить этот ключ как экспортируемый". Помешает ли это разработчику подписать код этим сертификатом?

Есть ли способ установить сертификат подписи кода в центральном хранилище сертификатов и разрешить определенным людям подписывать код с его помощью через активный каталог?