ЕМ>А толку, коли этой тулзой предлагается извлечь выпущенный сертификат с сервера GlobalSign, и записать его в аппаратный ключ? То есть, виртуалка не помешает ей спереть секретный ключ сертификата.

Как я понимаю, приватный ключ генерируется локально, далее по нему формируется CSR:
Судя по ссылке, там 3 опции:
— самостоятельно сделать CSR,
— через IE,
— через Fortify

И если этот Fortify сам генерирует приватный ключ и записывает его в аппаратный токен, то может передать его куда-то в интернет.
Судя по https://fortifyapp.com/developers и https://fortifyapp.com/#faq там локальное приложение, слушающее tcp-порт, и JS в веб-браузере.
Локальное приложение в принципе не должно лазить в интернет, а сетевые запросы JS компонента в теории можно отследить через dev tool веб-браузера.

Я бы попробовал так минимизировать риски.
Но в идеале конечно самому генерировать приватный ключ и помещать в аппаратный токен и далее отслеживать, что именно подписывает им то или иное приложение.