长话短说：

主机密钥

1. 为主机密钥创建 CA 密钥：

   ssh-keygen -f host_ca
   

2. 签署所有主机密钥并将其复制到服务器：

   ssh-keygen -s host_ca -I host_foo -h -n foo.bar.com -V +52w /etc/ssh/ssh_host_rsa_key.pub 
   

3. 配置服务器 ( /etc/ssh/sshd_config) 以通告证书（除了主机密钥之外）：

   HostCertificate /etc/ssh/ssh_host_rsa_key-cert.pub
   

4. 配置客户端 ( /etc/ssh/ssh_known_hosts)（如果您搜索相互通信，也是您的服务器）：

   @cert-authority *.bar.com ssh-rsa AAAAB3[...]== Comment
   

验证密钥：

1. 为用户创建CA密钥：

    ssh-keygen -f user_ca
   

2. 配置服务器接受此 CA 签名的密钥（同样在“/etc/ssh/sshd_config”中）：

   TrustedUserCAKeys /etc/ssh/user_ca.pub
   

3. 签署身份验证密钥：

    ssh-keygen -s user_ca -I user_thomas -n thomas,thomas2 -V +52w /path/to/id_rsa.pub
   

更多注释可参见哈贝茨或在手册页中sshd。它应该回答您所有的问题，但如果没有，请随时进一步询问。