![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Dotazy: 2
Tato odpověď byla automaticky přeložena. V důsledku toho může obsahovat gramatické chyby nebo neobvyklé formulace.
Dobrý den, ÷×,
Děkujeme za příspěvek do fóra komunity společnosti Microsoft.
Toho můžete dosáhnout využitím virtuální čipové karty (VSC) vytvořené pomocí čipu TPM (Trusted Platform Module) a správnou správou certifikátů. Tady je obecný přístup, jak zajistit, aby byl váš podpisový certifikát nainstalovaný tak, aby byl soukromý klíč chráněný čipem TPM a nedal se exportovat:
Kroky k vytvoření a použití virtuální čipové karty s čipem TPM
1.Vytvořte virtuální čipovou kartu (VSC):
Otevřete příkazový řádek jako správce a spusťte následující příkaz:
Tpmvscmgr create /name <Název_VSCName> /pin defaultpin /adminpin defaultadminpin
Nahraďte <VSCName>' názvem vaší virtuální čipové karty a nastavte výchozí PIN kódy. Z bezpečnostních důvodů byste měli tyto PIN kódy později změnit.
2.Importujte certifikát:
Vygenerujte žádost o certifikát:
Pomocí následujícího příkazu vygenerujte požadavek pomocí VSC:
certreq -new <CertRequest.inf> <CertRequest.req>
Vytvořte soubor INF ('CertRequest.inf') s potřebnými podrobnostmi žádosti o certifikát a odkazem na VSC.
Odešlete žádost:
Chcete-li certifikát získat, odešlete vygenerovaný soubor žádosti (CertRequest.req) své certifikační autoritě (CA).
Nainstalujte certifikát:
Po obdržení certifikátu od certifikační autority jej nainstalujte pomocí:
certreq -accept <CertResponse.cer>
3.Ujistěte se, že certifikát a klíč nejsou exportovatelné:
Ujistěte se, že je certifikát označený jako neexportovatelný a je uložený v úložišti s hardwarovým zálohováním. Toto nastavení se obvykle spravuje ve výchozím nastavení při použití VSC a TPM, ale můžete ho ověřit pomocí Správce certifikátů (certmgr.msc).
4.Zpřístupněte VSC pro podpisové aplikace:
Některé aplikace pro podepisování nemusí automaticky detekovat VSC založené na čipu TPM. Můžete ručně zajistit, aby byl certifikát přístupný pro tyto aplikace. Například může být nutné zadat umístění úložiště certifikátů nebo použít middleware, který podporuje VSC.
- Testování:
Otevřete aplikaci pro podpis a zkontrolujte dostupné tokeny nebo certifikáty. Měl by se zobrazit certifikát přidružený k vašemu VSC.
Dodatečné poznámky
- Správa PIN:
Ujistěte se, že jste změnili výchozí PIN kódy nastavené při vytváření VSC na něco zabezpečeného.
Middleware:
- Některé aplikace pro podepisování mohou pro interakci s VSC vyžadovat specifický middleware. Ujistěte se, že vaše aplikace podporuje VSC a klíče založené na čipu TPM.
- Kompatibilita:
Zkontrolujte kompatibilitu s vaším operačním systémem a podepisovacím softwarem. Ne všechny aplikace nebo verze operačního systému podporují VSC stejně dobře.
Pokud vaše aplikace pro podpis stále nerozpozná VSC, podívejte se do její dokumentace, kde najdete konkrétní kroky potřebné k integraci certifikátů založených na čipu TPM, nebo se obraťte na jejich podporu, kde vám poradí.
Doufám, že výše uvedené informace jsou užitečné.
Máte-li jakékoli dotazy nebo obavy, dejte nám vědět.
S pozdravem
Daisy Zhou