Tengo un YubiKey NEO que tiene muchas capacidades sorprendentes como OTP, U2F y tarjeta inteligente PGP para PGP / GPG e incluso llaves SSH. Una de las aplicaciones que he descubierto recientemente para el dispositivo es un applet PIV que puede utilizar para almacenar de forma segura la clave RSA privada de un certificado SSL.
Esto me parece bastante fascinante, ya que lo hace mucho más difícil sin el acceso físico para robar un certificado SSL.
¿Es posible usar una tarjeta inteligente como esta para la clave privada de un servidor SSL? Nunca he visto una configuración en Apache o nginx que parezca indicar soporte para otra cosa que no sean claves privadas SSL basadas en archivos.
También, la demostración dada para el applet PIV muestra cómo crear un archivo local clave privada basada y luego enviarla a la tarjeta inteligente; ¿Hay alguna forma de crear la clave de forma segura en la tarjeta, para que nunca se almacene en ningún lugar? Sé que podría simplemente almacenarlo en un disco RAM / sistema de archivos para que nunca se escriba en el disco, pero ¿hay una manera de generarlo en el dispositivo como sea posible utilizando OpenPGP para las claves PGP?