Не должно быть никаких "требуемых" изменений DNS, но FQDN на сертификате SSL должен соответствовать URL, искавшему для разрешения веб-сайта, или сертификату, возможно, понадобится подстановочный знак в передней стороне к серверу несколько потенциальных хостов с единственным сертификатом. Я никогда не должен был вносить "изменения" в свои записи для SSL, но я действительно должен был удостовериться это подобранные вещи.
На странице руководства ssh-keygen указано
-O option
Укажите параметр сертификата при подписании ключа.
Параметр -O force-command = command
относится к сертификатам, а не к ключам.
Вам нужно будет сгенерировать сертификат, подписав ключ, тогда вы сможете декодировать сертификат и увидеть встроенная команда.