Скажите, я правильно понимаю, что для того, что бы корневой менять раз в пять лет, то нужно к серверу УЦ подключить HSM. А если я хочу делать клиентам УЦ ключит сроком на 5 лет, то я должен подключить этот HSM к АРМ Администратора, на котором генерятся ключи?
Или может есть техническая возможность использования одного комплекта КриптоПро HSM для всех нужд?

Использую КриптоПро УЦ 1.5
СКЗИ КриптоПро CSP 3.6

Представим, что пришел пользователь с запросом на сертификат и просит выпустить КСКПЭП на 3 года. СКЗИ с помощью которого он генерировал себе ЗК - позволяет делать неэкспортируемый ЗК на 3 года, есть сертификат соответствия и пр.документы. Нарушу ли я что-либо выпустив такой КСКПЭП?

Для начала надо решить как вы будете информацию об СКЗИ в сертификат вносить. Напомню что в сертификате должны содержаться не только сведения об СКЗИ издателя, но и сведения об СКЗИ владельца сертификата.

Мне кажется, что законы не будут нарушены. А вот в регламент УЦ, вероятно, нужно будет внести правки - там часто прописан жесткий срок действия выдаваемых сертификатов.
Плюс важно проверить, что клиент сделал запрос именно тем средством, которое указал. И не только записал сгенерированный на компе контейнер на условный Рутокен ЭЦП, а именно воспользовался внутренней криптографией рутокена ЭЦП через ПО, которое это умеет делать. Я задавал вопрос техподдержке рутокена - на данный момент через драйвера рутокена однозначно нельзя определить как был сгенерирован контейнер, но обещали в ближайшем будущем ввести такую идентификацию. Как в этом плане дела у других аналгов, я не в курсе. Возможно, проще будет при вас еще раз провести процедуру генерации нового запроса, чтобы убедиться, что все сделано верно.