Una cosa en la que he estado pensando durante un tiempo es usar una clave privada X.509 almacenada en un dispositivo de seguridad de hardware (por ejemplo, YubiKey et al) en una base por máquina. En teoría, debería ser posible "reutilizar" una clave privada al generar múltiples CSR, cada uno para su servicio respectivo.
Lo que quiero decir con servicios es, por ejemplo:
- títere
- NGINX
- Sincronización
Entiendo que estas piezas de software (por lo que sé al momento de la publicación) no admiten operaciones de clave privada sobre PKCS # 11 (o # 13, no puedo recordar cuál es el protocolo para las claves privadas de hardware ), pero si lo hicieran, ¿habría algún peligro potencial al reutilizar la misma clave privada almacenada en hardware con una cantidad de servicios que viven en la misma caja? Además, ¿existen riesgos potenciales con la reutilización de la misma clave privada almacenada en el sistema de archivos en múltiples servicios en la misma caja? (asumiendo que la clave privada es root:root 0400 )