CA 証明書をクライアント マシンにコピーします。X.509 証明書それ自体をコピーするか、または CA 証明書が含まれた PKCS #7 パッケージをコピーできます。

証明書は、PKCS #7 パッケージから、-7 フラグを ssh-keygen-g3 に指定することによって抽出できます。

ホスト認証で使用される CA 証明書を、ssh-broker-config.xml ファイルの general エレメントで定義します。

<cert-validation end-point-identity-check="yes" 
                 http-proxy-url="http://proxy.example.com:800">
  <ldap-server address="ldap://ldap.example.com:389" />
  <ocsp-responder url="http://ocsp.example.com:8090" validity-period="0" /> 
  <dod-pki enable="no" />
  <ca-certificate name="ssh_ca1"
                  file="ssh_ca1.crt"
                  disable-crls="no"
                  use-expired-crls="100" />
</cert-validation>         

クライアントは、定義済みの CA によって発行された証明書だけを受け入れます。

CRL の使用は、ca-certificate エレメントの disable-crls 属性を "yes" に設定することによって無効にすることができます。

	注意
	CRL の使用は、テストの場合にのみ無効にする必要があります。それ以外の場合は常に CRL を使用することを強く推奨します。

また、CRL チェックに使用される LDAP サーバまたは OCSP レスポンダも定義します。CA 証明書に CRL 配布ポイント拡張が含まれている場合、LDAP サーバの定義は必要ありません。

CA サービス (OCSP、CRL) がファイアウォールの反対側にある場合は、ssh-broker-config.xml ファイルで SOCKS サーバも定義します。SOCKS サーバは、cert-validation の内部の socks-server-url エレメントで定義されます。