А чем вызвана необходимость хранить ключ сервера на Рутокен?
Есть ли уверенность, что в этом случае сервер "потянет" по производительности?

Опубликованной вчера дыркой в OpenSSL, которая предоставляет потенциальную возможность утащить с сервера закрытый ключ. Понятно, что от самих таких дырок токен не спасет, но от возможности утащить ключ, какк я понимаю защитит.
Производительность не сильно волнует - речь идет о закрытом сервере с ограниченном числом пользователей.

Ну как раз в свете описанной дырки по-поему очень даже есть смысл.
Или здесь правильнее использовать не рутокен, а какое-то другое средство аппаратного шифрования.

Рутокен есть. Насчет openSSL не понял - он в apache, как я понимаю, отдельного конфигурационного файла не имеет (или я не прав ?) т.е. где подключение прописывать ?. Нашел единственную директиву mod_ssl, связанную с аппаратным шифрованием SSLCryptoDevice, но что в нее писать не понимаю.

Есть веб-сервер (Ubuntu server), стоит Apache, SSL. Сертификат и закрытый ключи сервера (SSLCertificateFile, SSLCertificateKeyFile) в файлах. Соответственно, вопрос: если перенести их на Рутокен, то можно ли научить Apache читать их оттуда, и если можно, то как ?
Под "читат их оттуда" понимается, естественно, не чтение ключа из токена, а обращение к токену (библиотеке) за шифрованием.

За шифрованием лезть в токен нет смысла. А вот за подписью - можно.
OpenSSL подключается к Рутокену через engine_pkcs11 и библиотеку pkcs11.
У Вас уже есть Рутокен?