Sztem.itt a kalapács és a szög esete áll fenn, ezért érdemes lenne más oldalról megközelíteni a problémát.
Az SSH authorized_keys-ben van lehetőség beállítani, hogy meddig legyen érvényes a publikus kulcs. A kapcsoló neve expiry-time.
A generálás meg történhetne egy secret store-ban, ahol eleve van lehetőség az bejegyzések lejáratára és talán az automatikus törlésre is.
Ilyen funkcióval a HashiCorp Vaultban találkoztam, de biztos van itt más, aki tud esetleg szebb, jobb megoldást.
Így a kliens gépen nem kell kulcsot generálni hanem kérni kellene egyet a secret store-ból.
A publikus kulcsokat, meg lehetne teríteni Ansible-lel mondjuk lejárati dátummal.
Tehát a script csak kérne egy új kulcsot, és triggerelne egy Ansible playbook-ot egy másik gépen a publikus kulcs terítéséhez, már amennyiben ez külön szükséges és nem LDAP/AD-ból jönnek a kulcsok eleve.