Así que déjame poner el escenario:
He creado un Certificado de firma intermedia a través del tutorial de Yubico: enlace
Hice un par de cambios, en lugar de la ranura de firma digital, utilicé la ranura de autenticación de tarjeta. El motivo es que, según la especificación y la documentación de Yubikey, aparece:
Este certificado y su clave privada asociada se utilizan para admitir aplicaciones de acceso físico adicionales, tales como proporcionar Acceso a edificios a través de cerraduras de puertas habilitadas para PIV. El PIN del usuario final es NO es necesario realizar operaciones de clave privada para esta ranura.
Así que parece genial, sin embargo, para interactuar con esta ranura, mi configuración de openssl / pkcs11 requiere un PIN de todos modos. Simplemente podría incluir el PIN en cualquier interacción con scripts con la CA, pero esto no parece correcto.
¿Alguien ha experimentado esto y ha trabajado alrededor de esto?