Criei um keycript bastante simples para recuperar chaves em HTTPS . Eu estava tentando resolver o mesmo problema que eu acredito que você está - protegendo uma máquina contra roubo não segmentado enquanto ainda permite reinicializações sem ter que desbloquear manualmente toda vez.
A chave é armazenada criptografada no outro servidor, e você pode configurar a autenticação básica com bastante facilidade - nada disso particularmente ajuda, claro, uma vez que alguém roube a máquina relevante! Você ainda terá que responder manualmente ao roubo rapidamente, tornando as chaves indisponíveis.
Suponho que, no seu cenário, a expectativa seria de que alguém estivesse desligando todas as suas máquinas em (aproximadamente) ao mesmo tempo e que, de qualquer forma, o 'servidor de chaves' só estava disponível na rede local.(Meu servidor HTTP está na internet pública, mas tenho acesso limitado usando os intervalos de IP do GeoIP e dos meus ISPs, o que pode fornecer alguma proteção se eu tiver sorte.)
Criptografar a chave no meu arranjo provavelmente não oferece muito benefício, tenho que admitir. (Mas isso não torna as coisas muito mais complicadas.)
mandos é uma tentativa de resolver um problema semelhante, mas tenta garantir que as chaves fiquem indisponíveis rápida e automaticamente se uma máquina parecer ter sido roubada. Isso significa que exige suposições sobre o tempo de inatividade e uma infra-estrutura um pouco mais complicada.