1. En un servidor crear un par de claves para firmar claves de usuario.
`cd /etc/ssh && ssh-keygen -f user_ca`
2. Agregar en el archivo `/etc/ssh/sshd_config`:
`TrustedUserCaKeys /etc/ssh/user_ca.pub`
3. Reiniciar el servicio
`systemctl restart sshd`
*Para lograr que los certificados que vamos a generar se puedan usar en otros servidores, habría que copiar en ellos la clave pública (`user_ca.pub`), agregar la misma línea y reiniciar el servicio ssh.*
4. Copiar la clave pública del cliente ssh al servidor.
`scp ~/.ssh/id_rsa_sergio.pub root@certserver:/etc/ssh/`
5. Generar un certificado a partir de la clave pública.
`ssh-keygen -s user_ca -I user_sergio -n sergio,root -V +52w id_rsa_sergio.pub`
6. Copiar el certificado al host del usuario.
`scp root@certserver:/etc/ssh/id_rsa_sergio-cert.pub ~/.ssh/`
7. Autenticarse con el certificado del usuario.
`ssh -i ~/id_rsa_sergio-cert.pub root@certserver`
**Enlaces útiles**
- [Tutorial: Autenticación en SSH con clave pública | Mixturas Resilientes](http://sergiobelkin.com/posts/tutorial-autenticacion-con-clave-publica/)
- [OpenSSH certificates](https://blog.habets.se/2011/07/OpenSSH-certificates.html) (Mención de honor para este host que es en el cual me basé para la presente guía)
- [8.3. Using OpenSSH Certificate Authentication](https://docs.fedoraproject.org/en-US/Fedora/23/html/System_Administrators_Guide/sec-Using_OpenSSH_Certificate_Authentication.html)