Um tempo atrás tive que lidar com isso de code signing no Windows e vou te dizer, é um porre. No final, desisti e continuo publicando sem code signing.

As empresas que emitem os certificados só emitem para quem tem empresa (CNPJ), então não dá para um desenvolvedor individual conseguir um, segundo o que eu vi. Os sites dessas empresas autenticadoras são bem estranhos, eu não senti segurança neles. Além disso, o preço é simplesmente absurdo, US$ 300 / ano, daí para mais.

Para parar de aparecer a tela azul de "O Windows impediu um software suspeito", para mim bastou enviar o meu executável para o Microsoft Malware Analysis, é um portal que analisa programas para incluir na whitelist do Windows. Depois que fiz isso, parou de aparecer o aviso azul de segurança.

Link: https://www.microsoft.com/en-us/wdsi/filesubmission

O Notepad++ recentemente teve esse mesmo problema, o certificado dele expirou e não queriam emitir um para ele por ser um dev individual. Então, o criador decidiu assinar com um certificado auto-assinado.

https://notepad-plus-plus.org/news/v883-self-signed-certificate/