metalforge

Да, можно
https://habrahabr.ru/post/129343/

Знаю как решить эту и подобную задачу средствами платного ПО. Поэтому опишу просто подход.
Сервер доступа и аутентификации предоставляет интерфейс многофакторной (не обязательно) аутентификации, после прохождения которой пользователю становятся доступны ресурсы. Веб ресурсы доступны в браузере, а для классических ресурсов строится VPN-туннель(в вашем случае 22 порта) от клиента до сервера доступа.
Доступ к бэкэнд-ресурсам (в вашем случае SSH-серверам) есть только с сервера доступа, напрямую клиенты не должны иметь возможность подключиться к этим серверам.
Дополнительно можно настроить SSO таким образом, что при выборе SSH-сервера у пользователя автоматически запустится putty с указанными учетными записями. По сути сервер доступа и аутентификации будет менеджером паролей к SSH-серверам.

Очередной пример того, что сертификация -- это просто процесс получения глупой бумажки, и никакого отношения к реальной безопасности не имеет :(

Проблема входа решается генерацией запароленых SSH-ключей для КАЖДОГО сотрудника. За утерю ключа и/или пароля от ключа -- анальная кара в виде трёх лет расстрела без права переписки. Учётные записи сотрудником можете создавать с автоматически сгенерированными паролями, для входа по ключу он не нужен.

Если у вас железо -- юзайте системы управления типа chef/puppet/ansible для централизованного управления процессами разливки/удаления/замены ключей. Либо кастомные скрипты, которые будут подключаться по SSH и управлять ключами командами в shell. Если у вас сервера -- можно юзать те же системы управления (puppet etc), но есть другие системы, типа OpenSSH в связке с LDAP.

Проблема логирования решается созданием одного syslog-сервера и указанием в настройках всех серверов, что логи нужно хранить не только локально, но и сливать на этот сервер. Модификацию файла syslog.conf на всех серверах -- в мониторинг, чтобы каждый раз при его изменении отправлялся алерт (чтобы не было соблазна выключить по-тихому отгрузку логов).