diff --git a/playbooks/ssh-certs/deploy-host-certs.yml b/playbooks/ssh-certs/deploy-host-certs.yml
index fc18931..64acad7 100644
--- a/playbooks/ssh-certs/deploy-host-certs.yml
+++ b/playbooks/ssh-certs/deploy-host-certs.yml
@@ -37,13 +37,21 @@
     # step создаст два файла: сам публичный ключ и файл сертификата с суффиксом -cert.pub
     # Нам нужно забрать получившийся сертификат и положить его на целевую ноду
 
+    - name: Копирование сгенерированного ЗАКРЫТОГО ключа хоста на целевую виртуалку
+      copy:
+        src: "/tmp/ssh_host_certs/{{ inventory_hostname }}/ssh_host_ed25519_key"
+        dest: /etc/ssh/ssh_host_ed25519_key
+        owner: root
+        group: root
+        mode: '0600' # Закрытый ключ должен быть строго 0600
+
     - name: Копирование сгенерированного Хост-сертификата на целевую виртуалку
       copy:
         src: "/tmp/ssh_host_certs/{{ inventory_hostname }}/ssh_host_ed25519_key-cert.pub"
         dest: /etc/ssh/ssh_host_ed25519_key-cert.pub
         owner: root
         group: root
-        mode: '0600'
+        mode: '0640' # Сертификат может быть 0640
 
     - name: Настройка sshd_config для отдачи Хост-сертификата клиентам
       blockinfile: