Die Verwendung des Public-Key Verfahrens bei der User-Authentifizierung erfordert das Vorhandensein des Public-Keys des Benutzers auf dem Ziel-System. Typischerweise wird dieser im Home-Verzeichnis des Benutzers in der Datei ~/.ssh/authorized_keys abgelegt. Bevor also ein Benutzer das Public-Key Verfahren erstmalig für ein Ziel-System verwenden kann, muss sein Public-Key erst einmal dort abgelegt werden. Ein Einloggen ist vorher nur mit Hilfe des Benutzerpassworts möglich:

user01@client01 $ ssh server05
...
(user01@server05) user01’s Password: XXXXXXXXXX
...
user01@server05 $

Der Public-Key kann manuell, mit scp oder sftp, mit ssh-copy-id oder auf andere Weise in der authorized_keys Datei des Benutzers hinterlegt werden. Nachdem der Public-Key des Benutzers in seiner authorized_keys Datei hinzugefügt wurde, kann dann das Public-Key Verfahren verwendet werden:

user01@client01 $ ssh server05
Enter passphrase for key ‘/home/user01/.ssh/id_rsa’: XXXXXXXXXX
Last login: Fri Jan 16 19:26:22 2026 on /dev/pts/0 from 10.33.16.98
user01@server05 $ 

Der Public-Key des Benutzers muss auf allen potentiellen Ziel-Systemen abgelegt werden, auf denen sich der Benutzer einloggen können soll/muss. Gibt es keine zentrale Verteilung der Public-Keys, muss der Benutzer seinen Public-Key selbst auf die Systeme verteilen. Dabei wird er vermutlich ssh verwenden und muss sich dann mit seinem Passwort authentifizieren.

Schon bei einer handvoll Systemen ist dies aufwändig. In größeren Umgebungen mit hunderten oder tausenden Systemen dürfte das manuelle Ausrollen nicht praktikabel sein.

Die Verwendung von SSH User-Zertifikaten kann dieses Problem elegant lösen und bietet einige zusätzliche Vorteile.