根据CA/B的最新规则，自2023年6月1日起，代码签名证书签发存储介质（存储证书、私钥），必须使用符合FIPS 140-2 Level 2 或CC EAL 4+要求的Hardware Security Module（硬件安全模块）进行保护性存储，包括普通代码签名、EV代码签名，同时也不再支持导出PFX/P12进行证书管理，购买配置证书时需要选择以下一种方式进行管理：

1、USB-Key / USB-Token

新规要求标准(普通)代码签名、EV代码签名均需要使用USB-Token介质进行存储管理，即完成证书申请后，由CA机构提供一个实体的USB-Token（类似U盘）通过物流系统寄送到用户手上，后续使用该USB-Token插入计算机设备进行签名。

2、HSM硬件安全模块

用户自行提供符合FIPS 140-2 Level 2 或CC EAL 4+要求的Hardware Security Module硬件安全模块获取证书，通常该模块平台部署费用较高，如果不存在大规模管理代码签名证书则建议选用USB-Token方式。

3、CA厂商提供的云端HSM

不同的CA机构会提供基于云端部署的HSM存储设备，用户需要支付云服务订阅费存储相关代码签名证书及私钥。

总结以上信息，代码签名证书申请及签发过程均不再区分标准代码签名、EV代码签名，统一采用实体介质进行存储，进一步提升了证书的安全性，但同时增加了管理成本，企业或个人根据业务需要选择不同的存储方式。