主要观点：离线 PKI 通过将证书颁发机构与网络威胁物理隔离来增强安全性，可使用 YubiKey 存储根证书并需空气隔离环境操作根 CA，文中介绍了使用特定组件的离线 PKI 系统及相关软件、硬件和 Nix 相关内容。
关键信息：

• 组件：2 个 YubiKey 用于根 CA（有效期 20 年）、1 个 YubiKey 用于中间 CA（有效期 5 年）、1 个 Libre Computer Sweet Potato 作为空气隔离 SBC。
• 软件：offline-pki是管理离线 PKI 的 Python 应用，依赖yubikey-manager和cryptography，首次需重置 YubiKey 并生成根 CA 及复制，还可创建中间证书签名等，可通过--help获取选项。
• 硬件：使用成本效益高的 ARM64 单板计算机 Libre Computer Sweet Potato 确保根和中间 CA 操作空气隔离，可通过 USB 到 TTL UART 转换器交互。
• Nix：用 Nix 的 Flake 提供offline-pki应用的包、开发壳、NixOS 模块、QEMU 图像和 SD 卡图像等。
  重要细节：
• 根 CA 密钥不由 YubiKey 生成，操作完成后应将其与 YubiKey 一起放在安全处。
• 文中提供了各种nix相关操作命令，如本地运行应用、在 QEMU VM 中运行、构建 SD 卡等。