Как заставить ssh отправить сертификат за ключом, сохраненным на смарт-карте

У меня есть gpg ключ, который я использую через смарт-карту (yubikey нео) к ssh ко многим хостам. Некоторые из этих хостов используют сертификаты, а также ключи для авторизации логинов. Для нормальных ключей, которые хранятся локально, существует три включенные файла:

• id_rsa
• id_rsa.pub
• id_rsa-cert.pub

Я заставляю ssh использовать .pub и-cert.pub файлы вместе для аутентификации путем определения файла секретных ключей -i ~/.ssh/id_rsa. это заставляет это предлагать woth открытый ключ и сертификат. как так:

debug1: Authentications that can continue: publickey
debug1: Offering RSA-CERT public key: /home/user/.ssh/id_rsa
debug1: Server accepts key: pkalg ssh-rsa-cert-v01@openssh.com blen 1086
debug1: ssh_rsa_verify: signature correct

когда закрытый ключ хранится на смарт-карте нет такого файла для предложения, и сертификат не отправляется даже при том, что ключ RSA, подписанный сертификатом, предлагается:

debug1: Next authentication method: publickey
debug1: Offering RSA public key: cardno:000XXXXXXX2

Который отклоняется из-за отсутствия подписи.