Bem ... Você pode capturar essas informações de confiança de outra maneira.
Infelizmente, é um pouco complicado.
Crie sua própria autoridade de certificação e, em seguida, crie seu próprio emissor de assinatura cruzada para o Departamento Intermediário-1 (ou Departamento-Raiz-CA) assinando o certificado com a autoridade de certificação, possivelmente adicionando restrições de domínio. Se o Dep-Intermediate-1 "real" estiver desativado (preferencialmente) ou desconhecido, o Windows usará sua cadeia de confiança.
Veja minha outra resposta aqui: Restringir um certificado raiz a um domínio
É assim que os certificados devem funcionar, usando assinaturas digitais para representar uma afirmação de propriedade da chave. Como você deseja afirmar que o certificado e a chave pertencem ao servidor, você mesmo o assina, sob sua autoridade e, em seguida, diz ao sistema para confiar em você.
Ainda há muita utilidade em um certificado sem uma hierarquia de CA, acima do que as chaves SSH fornecem; parte disso são as restrições sobre eles. Uso principal, datas de validade, informações de revogação, restrições de domínio, etc. A outra parte é a informação de identificação; servidor que possui a chave, identidade do emissor, políticas de CA aplicadas, informações de armazenamento de chaves etc.