Wozu dienen die Parameter ssh-keygen -D und -U? Wie werden sie mit Smartcards verwendet?

Die Manpage ssh-keygen listet die folgenden zwei Parameter auf:

-D reader = Lädt den öffentlichen RSA-Schlüssel herunter, der auf der Smartcard im reader gespeichert ist.

-U reader = Lädt einen vorhandenen privaten RSA-Schlüssel auf die Smartcard im reader hoch.

Ich kann nichts anderes darüber herausfinden, nachdem ich mich umgesehen habe. Unterstützen sie ein standardmäßiges ssh_rsa-Schlüsselpaar auf einer Smartcard oder arbeiten sie mit einer pkcs11-Schnittstelle und x509-formatierten Zertifikaten? Bezieht sich dies auf SSH-Zertifikate und kann es unterstützt werden, entweder den privaten Signaturschlüssel oder den privaten Benutzerschlüssel mit Zertifikat auf einer Smartcard zu speichern?

Kurz gesagt, warum sollte ich diese Parameter verwenden?

Ich glaube, ich habe die gesuchten Informationen auf einer detaillierteren Manpage gefunden. Die Manpage ist hier (freebsd man page) .

Es hört sich so an, als würden die Parameter -D und -U mit einem pkcs11-Gerät kommunizieren, und diese Optionen funktionieren tatsächlich mit ssh-Zertifikaten (über den Parameter -s). Mit diesen sollte es möglich sein, einen durch Smartcards geschützten SSH-Signaturschlüssel offline zu haben (was mein ursprüngliches Ziel war). Ich weiß nicht, ob es bei diesem Vorgang möglich ist, einen signierten Benutzerschlüssel auf einer Smartcard zu haben.

Ich habe noch keinen dieser Befehle ausprobiert, aber ich denke, dass sie das sind, wonach ich gesucht habe. Wenn alles gut geht, kann ich eine Offline-SSH-CA auf einem yubikey neo einrichten.