Если SSH-клиент не принимает самоподписанный сертификат, можно попробовать следующее:

• Проверить отпечаток сертификата. 1 Для этого нужно заранее знать и сравнить отпечаток. 1 Затем он автоматически пропишется в конфиг и будет проверяться при каждом подключении. 1
• Изменить ограничения на использование ключа в токене. 2 Например, если в токен загружен ключ без возможности использования для подписи, нужно загрузить ключ с параметром «usage sign». 2 Для этого можно использовать утилиту pkcs15-init с параметром -u (--key-usage), который позволяет задавать ограничения на использование ключа. 2
• Настроить доверие к подписям ЦС. 3 Для этого нужно скопировать содержимое открытого ключа ЦС и добавить его в файл known_hosts в специальном формате. 3

Если проблема сохраняется, рекомендуется обратиться за помощью к специалисту.