Mi HSM (Módulo de seguridad de hardware) almacena (o permite usar) la clave privada, sin embargo, no admite PKCS # 11 y un método similar. A su vez, Apache Tomcat podría funcionar con certificados y claves a través de JKS, PKCS # 11 o mediante programación. Mi objetivo es habilitar el soporte HTTPS en un servidor web, pero no veo cómo lograrlo solo con cambios en los archivos de configuración.

Me imagino una opción que podría almacenar certificado en JKS, y obtener la clave privada asociada con él a través de la API proporcionada por el proveedor de HSM. Para ello, si tengo razón, tendré que volver a implementarImplementación JSSE y fábricas correspondientes. Además, tendré que implementar administradores clave y de confianza específicos.

¿Es esa la única forma de resolver ese problema?

¿Es seguro reemplazar JSSEImplementation en una instancia independiente en ejecución de Apache Tomcat, por ejemplo, justo después de que comenzó?