Não tenho certeza das principais diferenças entre cada um, mas o OpenSSH no Windows Server 2019 pode empregar certificados de cliente criados via PowerShell (*.pfx,.cer) em vez de usar pares de chaves públicas/privadas (.pub, *.) gerado via ssh-keygen?
Responder1
Sim e não, mas principalmente não.
O cliente OpenSSH não entende o formato do certificado X.509, nem o formato da chave privada PKCS#12 (.pfx) e também não pode acessar nada armazenado no Windows CAPI. Ele pode usar ochaveseles próprios, mas devem primeiro ser extraídos para o formato apropriado.
Da mesma forma, o servidor OpenSSH não permite colocar certificados X.509 em chaves_autorizadas (você teria que realizar a mesma extração de chave pública) e também não tem a menor ideia de como verificá-los em relação às autoridades raiz.
Há um fork de terceiros, o "PKIX-SSH" de Roumen Petrov, que oferece suporte ao uso direto de certificados X.509 (mas não acho que suporte o carregamento de chaves privadas .pfx ou CAPI; provavelmente você ainda precisará convertê-las no formato PEM ou PKCS#8).
No entanto, no Windows, você provavelmente preferirá o PuTTY-CAC (um fork amplamente usado do PuTTY), que oferece suporte a certificados armazenados no Windows CAPI.
Eu fizesperarA Microsoft adaptou sua porta OpenSSH para poder usar certificados e chaves no CAPI, mas eles simplesmente optaram pelo agente ssh tradicional...