Можно ли запросить создание клиентской пары ключей в браузере и отправить открытый ключ на сервер CA для прозрачной подписи? Затем установить подписанный сертификат в браузере пользователя?

Сценарий:

Пользователь открываетhttps://examle.com/ веб-страница, идентификация сервера подтвержденаПользователь запрашивает создание аккаунтаПара ключей генерируется в браузере пользователя и не раскрывается серверу / CAPubkey отправляется на сервер для подписиСервер подписывает ключ и генерирует сертификатСертификат отправляется клиенту и устанавливается в браузере вместе с закрытым ключом.

При следующем подключении клиента к серверу его личность проверяется на основании сертификата клиента.

Было бы неплохо, если бы сервер мог заставить / намекнуть клиента защитить свой закрытый ключ, используя шифрование пароля.

Я видел онлайн-банкинг, использующий Java-апплет для этой задачи. Возможно ли это сделать с помощью возможностей браузера? Apache / PHP или Node.js решение будет приветствоваться.