Meu HSM (Módulo de segurança de hardware) armazena (ou permite usar) chave privada, no entanto, não suporta PKCS # 11 e método semelhante. Por sua vez, o Apache Tomcat pode funcionar com certificado e chaves via JKS, PKCS # 11 ou programaticamente. Meu objetivo é habilitar o suporte HTTPS em um servidor Web, mas não vejo como conseguir isso apenas com alterações nos arquivos de configuração.

Eu imagino uma opção que eu poderia armazenar certificado no JKS e obter a chave privada associada a ele via API fornecida pelo fornecedor do HSM. Para esse efeito, se eu estiver certo, precisarei reimplementarJSSEImplementation e fábricas correspondentes. Além disso, precisarei implementar gerentes de chaves e de confiança específicos.

Essa é a única maneira de resolver esse problema?

É seguro substituir o JSSEImplementation em uma instância independente em execução do Apache Tomcat, por exemplo, logo após o início.