A página de manual ssh-keygen tem uma seção sobre "certificados".
Os certificados OpenSSH são conceitualmente semelhantes aos certificados X.509 (SSL / TLS) - o cliente ou servidor confia em uma chave para atuar como uma autoridade de certificação , aceitando automaticamente todos os pubs de servidores ou usuários < em> assinado por essa chave. (Ao contrário do X.509, o formato de certificado OpenSSH suporta apenas confiança direta, não transitiva; não pode haver CAs "intermediárias").
Embora o 7,4 aceite erroneamente os formatos de certificado em -t , não faz sentido gerá-los dessa maneira. Primeiro você precisa gerar um par de chaves simples (atualmente todos os tipos são suportados), então use ssh-keygen -s ... [-h|-u] ... para assinar a chave pública com o par de chaves CA, que gera um certificado.
(Em teoria, seria possível para ssh-keygen gerar o par de chaves e assiná-lo imediatamente, mas não faria sentido a partir de um PoV de segurança - não há necessidade de que a CA tenha acesso a a chave privada, muito menos se preocupar em distribuí-lo para o usuário / servidor. Deixe o usuário / servidor gerar seu próprio par de chaves em seu lugar.)