Я пытаюсь создать свою собственную PKI и, чтобы свести к минимуму вероятность взлома моего личного ключа root CA, я бы хотел сохранить его на YubiKey (4 или 5). В YubiKey есть два способа хранения закрытого ключа, один из которых является PIV-совместимой смарт-картой, а другой - PGP-совместимой смарт-картой.
Теперь моя проблема в том, что мой root CA закрытый ключ - 4096 битовый ключ RSA, который может обрабатываться только апплетом PGP на YubiKey (так как, очевидно, стандарт PIV подходит только для 2048-битного RSA). Тем не менее, все инструменты, которые я могу найти, которые обычно используются для подписи CSR, такие как CFSSL и OpenSSL, могут получать доступ к смарт-картам только через стандарт PKCS # 11, который, очевидно, поддерживается исключительно апплетом PIV.
Есть ли возможность использовать GPG для подписи CSR и создания сертификата X509 (кроме ручного внедрения while shebang) или разрешения использования PKCS # 11 через агента GPG?