Quindi lasciami impostare il livello:
Ho creato un certificato di firma intermedia tramite la procedura di Yubico: link
Ho apportato un paio di modifiche, invece dello slot Digital Signature, ho usato lo slot Autenticazione scheda. Il motivo è che, con le specifiche e la documentazione di Yubikey, appare:
This certificate and its associated private key is used to support additional physical access applications, such as providing physical access to buildings via PIV-enabled door locks. The end user PIN is NOT required to perform private key operations for this slot.
Quindi sembra fantastico, tuttavia sembra che per interagire con questo slot, la mia configurazione openssl / pkcs11 richieda comunque un PIN. Potrei semplicemente includere il PIN in qualsiasi interazione con lo script con la CA, ma questo non sembra corretto.
Qualcuno ha mai sperimentato questo o ha lavorato attorno ad esso?