Eh bien ... Vous pouvez capturer ces informations de confiance d'une autre manière.
C'est malheureusement un peu compliqué.
Créez votre propre autorité de certification, puis créez votre propre émetteur de signature croisée pour Dept-Intermediate-1 (ou Dept-Root-CA) en signant leur certificat avec votre autorité de certification, en ajoutant éventuellement des restrictions de domaine. Si le "vrai" Dep-Intermediate-1 est désactivé (de préférence) ou inconnu, Windows utilisera votre chaîne de confiance à la place.
Voir mon autre réponse ici: Restreindre un certificat racine à un domaine
C'est ainsi que les certificats sont censés fonctionner, en utilisant des signatures numériques pour représenter une affirmation de propriété des clés. Puisque vous voulez affirmer que le certificat et la clé appartiennent au serveur, vous le signez vous-même, sous votre autorité, puis dites au système de vous faire confiance.
Il y a encore beaucoup d'utilité dans un certificat sans hiérarchie CA, au-dessus de ce que les clés SSH fournissent; cela tient en partie aux restrictions qui leur sont imposées. Utilisation des clés, dates de validité, informations de révocation, restrictions de domaine, etc. L'autre partie concerne les informations d'identification; serveur propriétaire de la clé, identité de l'émetteur, politiques de l'autorité de certification appliquées, informations de stockage des clés, etc.