La politica dei certificati CDS ( disponibile qui ) specifica nella sezione 6.1.1
Subscriber key pairs must be generated in a manner that ensures that
the private key is not known by anybody other than the Subscriber or a
Subscriber’s authorized representative. Subscriber key pairs must be
generated in a medium that prevents exportation or duplication and
that meets or exceed FIPS 140-1 Level 2 certification standards.
SoftHSM non è FIPS 140-1 Livello 2 conforme. Per quanto ne so, il livello 2 e quello superiore richiedono un modulo crittografico hardware.
Tieni presente che il programma AATL (successore di CDS) ha requisiti simili ma fornisce un set più ampio di Autorità di certificazione che potrebbe fornire un certificato di firma fisica o una soluzione SaaS di firma.