Én ilyesmit úgy oldanék meg, hogy a tanúsítványtárolónak lenne egy aláírás funkciója.
Ha én egy program vagyok és egy pdf-et akarok aláírni, akkor megkérhetem a tenúsítványtárolót, hogy légyszi, írd alá, de az nem adja nekem ide a kulcsot, hogy én írjak alá.
A te problémádat is így közelíteném meg, legfeljebb linux/BSD alatt lenne egy általad készített, megbízható aláíró szolgáltatás, ami csak használja de nem adja ki a kulcsot.
Persze nem tudom, hogy megy a pdf aláírása, ha ezt csak az a program végezheti (pl. az Acrobat), és ehhez kell neki a kulcs, akkor ez bizonyára nem működik.