Názor k článku Yubikey Neo po dvou letech od Ondrej Mikle - Mně jako jednodušší řešení přijde obdoba používaná u...

Mně jako jednodušší řešení přijde obdoba používaná u serverových certifikátů - nějaký týden před vypršením se vygeneruje nový certifikát s platností od momentu vzniku a ním se nahradí starý na PIV appletu/kartě.

Pokud to už chcete řešit ve větším měřítku, tak je rovnou dobré si ty cerifikáty podepisovat svou vlastní CA a pak nenarazíte na problém, že se nový certifikát nerozšířil do autorizačních systémů.

Jinak přinejhorším šlo použít slot 9c jako extra místo pro další certifikát a klíč. Myslím, že běžné PKCS#11 aplikace to normálně nerozlišují (klíč akorát musí správný flag - "sign", "encrypt", podle aplikace).