TPM-Schlüsselnachweis
Autor: Justin Turner, Senior Support Escalation Engineer bei der Windows-Gruppe
Hinweis
Dieser Inhalt wurde von einem Mitarbeiter des Microsoft-Kundendiensts geschrieben und richtet sich an erfahrene Administratoren und Systemarchitekten, die einen tieferen technischen Einblick in die Funktionen und Lösungen von Windows Server 2012 R2 suchen, als Ihnen die Themen im TechNet bieten können. Allerdings wurde er nicht mit der gleichen linguistischen Sorgfalt überprüft wie für die Artikel des TechNet üblich, so dass die Sprache gelegentlich holprig klingen mag.
Übersicht
Obwohl es durch TPM geschützte Schlüssel seit Windows 8 gibt, gab es keine Mechanismen, mit denen Zertifizierungsstellen kryptografisch nachweisen konnten, dass der private Schlüssel des Zertifikatsantragstellers tatsächlich durch ein Trusted Platform Module (TPM) geschützt ist. Dieses Update ermöglicht einer Zertifizierungsstelle, diesen Nachweis zu erbringen und im ausgestellten Zertifikat wiederzugeben.
Hinweis
In diesem Artikel wird davon ausgegangen, dass der Leser mit dem Konzept von Zertifikatvorlagen vertraut ist (Informationen zur Bezugnahme finden Sie unter Zertifikatvorlagen). Außerdem wird davon ausgegangen, dass der Leser mit dem Konfigurieren von Unternehmenszertifizierungsstellen vertraut ist, um Zertifikate basierend auf Zertifikatvorlagen auszustellen (Informationen zur Bezugnahme finden Sie unter Prüfliste: Konfigurieren von Zertifizierungsstellen für das Ausstellen und Verwalten von Zertifikaten).
Begriff
Begriff | Definition |
---|---|
EK | Endorsement Key. Hierbei handelt es sich um einen asymmetrischen Schlüssel, der im TPM enthalten ist (und zur Fertigungszeit eingefügt wird). Der Endorsement Key ist für jedes TPM eindeutig und kann es identifizieren. Er kann nicht geändert oder entfernt werden. |
EKpub | Bezieht sich auf den öffentlichen Schlüssel des Endorsement Keys. |
EKPriv | Bezieht sich auf den privaten Schlüssel des Endorsement Keys. |
EKCert | EK-Zertifikat. Ein vom Hersteller des TPM ausgestelltes Zertifikat für EKPub. Nicht alle TPMs haben ein EKCert. |
TPM | Trusted Platform Module. Ein TPM dient zum Bereitstellen hardwarebasierter sicherheitsbezogener Funktionen. Ein TPM-Chip ist ein sicherer Krypto-Prozessor, der für die Ausführung kryptografischer Vorgänge ausgelegt ist. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. |
Hintergrund
Ab Windows 8 kann mit einem Trusted Platform Module (TPM) der private Schlüssel eines Zertifikats geschützt werden. Der Schlüsselspeicheranbieter (Key Storage Provider, KSP) des Microsoft Platform-Verschlüsselungsanbieters aktiviert dieses Feature. Bei der Implementierung gab es zwei Bedenken:
Es gab keine Garantie dafür, dass ein Schlüssel tatsächlich von einem TPM geschützt wird (jemand kann einen softwaregestützten KSP mit den Anmeldeinformationen eines lokalen Administrators mühelos als KSP eines TPM ausgeben).
Es war nicht möglich, die Liste der TPMs einzuschränken, die zum Schutz der vom Unternehmen ausgestellten Zertifikate zugelassen sind (für den Fall, dass der PKI-Administrator die Typen von Geräten steuern möchte, die in der Umgebung zum Abrufen von Zertifikaten verwendet werden können).
TPM-Schlüsselnachweis
Der TPM-Schlüsselnachweis ist die Fähigkeit der Entität, die ein Zertifikat anfordert, gegenüber einer Zertifizierungsstelle kryptographisch nachzuweisen, dass der RSA-Schlüssel in der Zertifikatsanforderung entweder durch „ein“ oder „das“ TPM geschützt ist, dem die Zertifizierungsstelle vertraut. Das TPM-Vertrauensmodell wird weiter unten in diesem Artikel im Abschnitt Bereitstellungsübersicht näher erläutert.
Warum ist der TPM-Schlüsselnachweis wichtig?
Ein Benutzerzertifikat mit einem durch das TPM bestätigten Schlüssel gewährleistet eine höhere Sicherheit, da die vom TPM bereitgestellten Schlüssel nicht exportiert werden können, isoliert sind und vor sog. Hammering-Angriffen (Angriff durch schnelle Wiederholung der Anmeldedateneingabe) geschützt sind.
Mit dem TPM-Schlüsselnachweis ist jetzt ein neues Verwaltungsparadigma möglich: Ein Administrator kann die Geräte festlegen, mit denen Benutzer auf Unternehmensressourcen zugreifen können (z. B. VPN oder Funkzugriffspunkt) und sicher garantiert, dass keine anderen Geräte für den Zugriff verwendet werden können. Dieses neue Paradigma der Zugriffssteuerung ist sicher, weil sie mit einer an Hardware gebundene Benutzeridentität gekoppelt ist, die sicherer als softwarebasierte Anmeldeinformationen ist.
Wie funktioniert der TPM-Schlüsselnachweis?
Im Allgemeinen basiert der TPM-Schlüsselnachweis auf den folgenden Säulen:
Jedes TPM wird mit einem eindeutigen asymmetrischen Schlüssel, dem sog. Endorsement Key (EK), ausgeliefert, der vom Hersteller gebrannt wird. Wir beziehen uns auf den öffentlichen Teil dieses Schlüssels als EKPub und den zugehörigen privaten Schlüssel als EKPriv. Einige TPM-Chips verfügen auch über ein EK-Zertifikat, das vom Hersteller für das EKPub ausgestellt wird. Wir beziehen uns auf dieses Zertifikat als EKCert.
Eine ZS stellt die Vertrauensstellung im TPM entweder über EKPub oder EKCert her.
Ein Benutzer weist der Zertifizierungsstelle nach, dass der RSA-Schlüssel, für den das Zertifikat angefordert wurde, sich kryptografisch auf den EKPub bezieht und dass der Benutzer den EKpriv besitzt.
Die Zertifizierungsstelle stellt ein Zertifikat mit einer speziellen Ausstellungsrichtlinien-OID aus, um zu kennzeichnen, dass der Schlüssel jetzt nachweislich durch ein TPM geschützt ist.
Übersicht über die Bereitstellung
Bei dieser Bereitstellung wird davon ausgegangen, dass eine Windows Server 2012 R2-Unternehmenszertifizierungsstelle eingerichtet ist. Außerdem sind Clients (Windows 8.1) für die Registrierung bei dieser Unternehmenszertifizierungsstelle mithilfe von Zertifikatvorlagen konfiguriert.
Es gibt drei Schritte zum Bereitstellen des TPM-Schlüsselnachweises:
Planen des TPM-Vertrauensmodells: Der erste Schritt besteht darin, zu entscheiden, welches TPM-Vertrauensmodells verwendet werden soll. Dafür gibt es drei Möglichkeiten:
Auf Benutzeranmeldeinformationen basierendes Vertrauen : Die Unternehmenszertifizierungsstelle vertraut dem vom Benutzer bereitgestellten EKPub im Rahmen der Zertifikatanforderung, und es erfolgt ausschließlich eine Überprüfung der Domänenanmeldeinformationen des Benutzers.
Auf EKCert basierendes Vertrauen: Die Unternehmenszertifizierungsstelle überprüft die EKCert-Kette, die als Teil der Zertifikatanforderung bereitgestellt wird, anhand einer vom Administrator verwalteten Liste zulässiger EK-Zertifikatketten. Die zulässigen Ketten werden herstellerbezogen definiert und über zwei benutzerdefinierte Zertifikatspeicher in der ausstellenden Zertifizierungsstelle (ein Speicher für das Zwischenzertifikat und einer für Zertifikate der Stammzertifizierungsstelle) ausgedrückt. Dieser Vertrauensmodus bedeutet, dass alle TPMs eines bestimmten Herstellers vertrauenswürdig sind. Beachten Sie, dass in diesem Modus in der Umgebung verwendete TPMs EKCerts enthalten müssen.
Auf EKPub basierendes Vertrauen: Die Unternehmenszertifizierungsstelle überprüft, ob der EKPub, der als Teil der Zertifikatanforderung bereitgestellt wurde, in einer vom Administrator verwalteten Liste zulässiger EKPubs enthalten ist. Diese Liste wird als Verzeichnis von Dateien ausgedrückt, wobei der Name jeder Datei in diesem Verzeichnis der SHA-2-Hash des zulässigen EKPub ist. Diese Option bietet die höchste Zuverlässigkeitsebene, erfordert jedoch mehr administrativen Aufwand, da jedes Gerät einzeln identifiziert wird. Bei diesem Vertrauensmodell können sich nur die Geräte für ein Zertifikat mit TPM-Nachweis registrieren, deren EKPub ihres TPM in die Liste zulässiger EKPubs aufgenommen wurde.
Je nach verwendeter Methode ordnet die Zertifizierungsstelle dem ausgestellten Zertifikat eine andere Ausgaberichtlinien-OID zu. Weitere Informationen zu Ausstellungsrichtlinien-OIDs finden Sie in diesem Artikel im Abschnitt Konfigurieren einer Zertifikatvorlage in der Tabelle „Ausstellungsrichtlinien-OIDs“.
Beachten Sie, dass es möglich ist, eine Kombination von TPM-Vertrauensmodellen zu wählen. In diesem Fall akzeptiert die Zertifizierungsstelle alle Nachweismethoden, und die Ausstellungsrichtlinien-OIDs geben alle erfolgreichen Nachweismethoden wieder.
Konfigurieren der Zertifikatvorlage: Das Konfigurieren der Zertifikatvorlage wird im Abschnitt Bereitstellungsdetails in diesem Artikel erläutert. In diesem Artikel wird nicht erläutert, wie diese Zertifikatvorlage der Unternehmenszertifizierungsstelle zugewiesen wird oder wie einer Gruppe von Benutzer*innen Registrierungszugriff gewährt wird. Weitere Informationen finden Sie unter Prüfliste: Konfigurieren von Zertifizierungsstellen für das Ausstellen und Verwalten von Zertifikaten.
Konfigurieren der Zertifizierungsstelle für das TPM-Vertrauensmodell
Auf Benutzeranmeldeinformationen basierendes Vertrauen: Es ist keine spezifische Konfiguration erforderlich.
Auf EKCert basierendes Vertrauen: Der Administrator muss die EKCert-Kettenzertifikate von TPM-Herstellern beziehen und sie in zwei neue, vom Administrator erstellte Zertifikatsspeicher in der Zertifizierungsstelle importieren, die den TPM-Schlüsselnachweis durchführen. Weitere Informationen finden Sie im Abschnitt Konfiguration der Zertifizierungsstelle in diesem Artikel.
Auf EKPub basierendes Vertrauen: Der Administrator muss den EKPub für jedes Gerät abrufen, das Zertifikate mit TPM-Nachweis benötigt, und sie der Liste zulässiger EKPubs hinzufügen. Weitere Informationen finden Sie im Abschnitt Konfiguration der Zertifizierungsstelle in diesem Artikel.
Hinweis
- Für dieses Feature ist Windows 8.1 oder Windows Server 2012 R2 erforderlich.
- Der TPM-Schlüsselnachweis für Smartcard KSPs von Drittanbietern wird nicht unterstützt. Der KSP des Microsoft Platform-Krypotografieanbieters muss verwendet werden.
- Der TPM-Schlüsselnachweis funktioniert nur für RSA-Schlüssel.
- Der TPM-Schlüsselnachweis wird für eine eigenständige Zertifizierungsstelle nicht unterstützt.
- Der TPM-Schlüsselnachweis unterstützt keine nicht persistente Zertifikatverarbeitung.
Bereitstellungsdetails
Konfigurieren einer Zertifikatvorlage
Führen Sie die folgenden Konfigurationsschritte aus, um die Zertifikatvorlage für den TPM-Schlüsselnachweis zu konfigurieren:
Registerkarte Kompatibilität
Im Abschnitt Kompatibilitätseinstellungen:
Stellen Sie sicher, dass Windows Server 2012 R2 für Zertifizierungsstelle ausgewählt ist.
Stellen Sie sicher, dass Windows 8.1/Windows Server 2012 R2 für Zertifikatempfänger ausgewählt ist.
Registerkarte Kryptografie
Stellen Sie sicher, dass Schlüsselspeicheranbieter für Anbieterkategorie und RSA für Algorithmusname ausgewählt ist. Stellen Sie sicher, dass Anforderungen müssen einen der folgenden Anbieter verwenden und Microsoft Platform-Kryptografieanbieter unter Anbieter ausgewählt ist.
Registerkarte Schlüsselnachweis
Dies ist eine neue Registerkarte für Windows Server 2012 R2:
Wählen Sie aus den drei möglichen Optionen einen Nachweismodus aus.
Ohne: Bedeutet, dass kein Schlüsselnachweis verwendet werden darf
Erforderlich, falls Client-Funktion verfügbar: Ermöglicht Benutzer*innen auf einem Gerät, das den TPM-Schlüsselnachweis nicht unterstützt, die Registrierung für dieses Zertifikat fortzusetzen. Benutzer, die einen Nachweis durchführen können, werden mittels einer speziellen Ausstellungsrichtlinien-OID unterschieden. Einige Geräte sind möglicherweise nicht in der Lage, den Nachweis durchzuführen, weil sie ein altes TPM haben, das den Schlüsselnachweis nicht unterstützt, oder weil das Gerät überhaupt kein TPM hat.
Erforderlich: Der Client muss einen TPM-Schlüsselnachweis durchführen, andernfalls schlägt die Zertifikatanforderung fehl.
Wählen Sie dann das TPM-Vertrauensmodell aus. Wiederum stehen drei Optionen zur Verfügung:
Benutzeranmeldeinformationen: Ermöglichen einem sich authentifizierenden Benutzer, für ein gültiges TPM zu bürgen, indem er seine Anmeldeinformationen für die Domäne angibt.
Endorsement-Zertifikat: Das EKCert des Geräts muss über vom Administrator verwaltete TPM-Zwischenzertifizierungsstellenzertifikate bei einem vom Administrator verwalteten Stammzertifizierungsstellenzertifikat bestätigt werden. Wenn Sie diese Option auswählen, müssen Sie EKCA- und EKRoot-Zertifikatspeicher auf der ausstellenden Zertifizierungsstelle einrichten, wie im Abschnitt Konfiguration der Zertifizierungsstelle in diesem Artikel beschrieben.
Endorsement Key: Der EKPub des Geräts muss in der vom PKI-Administrator verwalteten Liste enthalten sein. Diese Option bietet die höchste Zuverlässigkeitsebene, erfordert jedoch mehr Verwaltungsaufwand. Bei Auswahl dieser Option müssen Sie eine EKPub-Liste für die ausstellende Zertifizierungsstelle einrichten, wie im Abschnitt Konfiguration der Zertifizierungsstelle in diesem Artikel beschrieben.
Entscheiden Sie schließlich, welche Ausstellungsrichtlinie im ausgestellten Zertifikat gezeigt werden soll. Standardmäßig hat jeder Erzwingungstyp einen zugeordneten Objektbezeichner (OID), der in das Zertifikat eingefügt wird, wenn es diesen Erzwingungstyp erfolgreich besteht, wie in der folgenden Tabelle beschrieben. Beachten Sie, dass eine Kombination von Erzwingungsmethoden ausgewählt werden kann. In diesem Fall akzeptiert die Zertifizierungsstelle alle Nachweismethoden, und die Ausstellungsrichtlinien-OIDs geben alle erfolgreichen Nachweismethoden wieder.
Ausstellungsrichtlinien-OIDs
OID Schlüsselnachweistyp BESCHREIBUNG Zuverlässigkeitsstufe 1.3.6.1.4.1.311.21.30 EK „EK überprüft“: für vom Administrator verwaltete EK-Liste High 1.3.6.1.4.1.311.21.31 Endorsement-Zertifikat „EK-Zertifikat überprüft“: bei Bestätigung der EK-Zertifikatkette Mittel 1.3.6.1.4.1.311.21.32 Benutzeranmeldeinformationen „EK bei Verwendung vertrauenswürdig“: für EK-Nachweis durch Benutzer Niedrig Die OIDs werden in das ausgestellte Zertifikat eingefügt, wenn Ausstellungsrichtlinien einschließen ausgewählt ist (Standardkonfiguration).
Tipp
Ein potenzieller Nutzen der im Zertifikat vorhandenen OID besteht darin, den Zugriff auf VPN oder Funknetzwerke auf bestimmte Geräte zu beschränken. Ihre Zugriffsrichtlinie kann beispielsweise die Verbindung (oder den Zugriff auf ein anderes VLAN) erlauben, wenn die OID 1.3.6.1.4.1.311.21.30 im Zertifikat vorhanden ist. Dadurch können Sie den Zugriff auf Geräte einschränken, deren TPM EK in der Liste EKPUB enthalten ist.
Konfiguration der Zertifizierungsstelle
Einrichten von EKCA- und EKROOT-Zertifikatspeichern für eine ausstellende Zertifizierungsstelle
Wenn Sie für die Vorlageneinstellungen Endorsement-Zertifikat ausgewählt haben, führen Sie die folgenden Konfigurationsschritte aus:
Erstellen Sie mit Windows PowerShell zwei neue Zertifikatspeicher auf dem Zertifizierungsstellenserver, der den TPM-Schlüsselnachweis durchführt.
Rufen Sie die Zwischen- und Stammzertifizierungsstellenzertifikate von Herstellern ab, die Sie in Ihrer Unternehmensumgebung zulassen möchten. Diese Zertifikate müssen je nach Bedarf in die zuvor erstellten Zertifikatspeicher (EKCA und EKROOT) importiert werden.
Mit dem folgenden Windows PowerShell-Skript werden beide Schritte ausgeführt. Im folgenden Beispiel hat der TPM-Hersteller Fabrikam das Stammzertifikat FabrikamRoot.cer und das Zertifikat Fabrikamca.cer der ausstellenden Zertifizierungsstelle bereitgestellt.
PS C:>\cd cert: PS Cert:\>cd .\\LocalMachine PS Cert:\LocalMachine> new-item EKROOT PS Cert:\ LocalMachine> new-item EKCA PS Cert:\EKCA\copy FabrikamCa.cer .\EKCA PS Cert:\EKROOT\copy FabrikamRoot.cer .\EKROOT
Einrichten der EKPUB-Liste bei Verwenden des EK-Nachweistyps
Wenn Sie in den Vorlageneinstellungen Endorsement Key ausgewählt haben, müssen Sie in den nächsten Konfigurationsschritten einen Ordner in der ausstellenden Zertifizierungsstelle erstellen und konfigurieren, der Dateien mit 0 Byte enthält, die jeweils nach dem SHA-2-Hash eines zulässigen EK benannt sind. Dieser Ordner dient als „Positivliste“ für Geräte, die Zertifikate mit TPM-Schlüsselnachweis erhalten dürfen. Da Sie den EKPUB für jedes einzelne Gerät, das einen TPM-Schlüsselnachweis benötigt, manuell hinzufügen müssen, bietet er dem Unternehmen eine Garantie für autorisierte Geräte, einen TPM-Schlüsselnachweis zu erhalten. Das Konfigurieren einer Zertifizierungsstelle für diesen Modus erfordert zwei Schritte:
Erstellen des Registrierungseintrags EndorsementKeyListDirectories: Verwenden Sie das Befehlszeilentool Certutil, um die Ordnerspeicherorte zu konfigurieren, in denen vertrauenswürdige EKpubs definiert sind, wie in der folgenden Tabelle beschrieben.
Vorgang Befehlssyntax Hinzufügen von Ordnerspeicherorten certutil.exe -setreg CA\EndorsementKeyListDirectories +"<Ordner>" Entfernen von Ordnerspeicherorten certutil.exe -setreg CA\EndorsementKeyListDirectories -"<Ordner>" EndorsementKeyListDirectories im certutil-Befehl ist eine Registrierungseinstellung, wie in der folgenden Tabelle beschrieben.
Wertname Typ Daten EndorsementKeyListDirectories REG_MULTI_SZ <Lokaler oder UNC-Pfad zu EKPUB-Zulassungslisten> Beispiel:
\\blueCA.contoso.com\ekpub
\\bluecluster1.contoso.com\ekpub
D:\ekpub
HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA Sanitized Name>
EndorsementKeyListDirectories enthält eine Liste von UNC- oder lokalen Dateisystempfaden, die jeweils auf einen Ordner verweisen, auf den die Zertifizierungsstelle Lesezugriff hat. Jeder Ordner kann keinen oder mehr Positivlisteneinträge enthalten, wobei jeder Eintrag eine Datei mit einem Namen ist, der ohne Dateierweiterung dem SHA-2-Hash eines vertrauenswürdigen EKpub entspricht. Das Erstellen oder Bearbeiten dieser Registrierungsschlüsselkonfiguration erfordert einen Neustart der Zertifizierungsstelle, genau wie bei vorhandenen Registrierungskonfigurationseinstellungen für die Zertifizierungsstelle. Änderungen an der Konfigurationseinstellung werden jedoch sofort wirksam und erfordern keinen Neustart der Zertifizierungsstelle.
Wichtig
Schützen Sie die Ordner in der Liste vor Manipulation und nicht autorisiertem Zugriff, indem Sie Berechtigungen so konfigurieren, dass nur autorisierte Administratoren Lese- und Schreibzugriff haben. Das Computerkonto der Zertifizierungsstelle erfordert nur Lesezugriff.
Auffüllen der EKPUB-Liste: Verwenden Sie das folgende Windows PowerShell-Cmdlet, um den Hash des öffentlichen Schlüssels des TPM EK mithilfe von Windows PowerShell auf jedem Gerät abzurufen. Senden Sie diesen Hash des öffentlichen Schlüssels an die Zertifizierungsstelle, und speichern Sie ihn im Ordner EKPubList.
PS C:>\$a=Get-TpmEndorsementKeyInfo -hashalgorithm sha256 PS C:>$b=new-item $a.PublicKeyHash -ItemType file
Problembehandlung
Schlüsselnachweisfelder sind für eine Zertifikatvorlage nicht verfügbar
Die Schlüsselnachweisfelder sind nicht verfügbar, wenn die Vorlageneinstellungen die Anforderungen für den Nachweis nicht erfüllen. Gängige Gründe wären etwa:
Die Kompatibilitätseinstellungen sind nicht ordnungsgemäß konfiguriert. Stellen Sie sicher, dass sie wie folgt konfiguriert sind:
Zertifizierungsstelle: Windows Server 2012 R2
Zertifikatempfänger: Windows 8.1/Windows Server 2012 R2
Die Kryptographieeinstellungen sind nicht ordnungsgemäß konfiguriert. Stellen Sie sicher, dass sie wie folgt konfiguriert sind:
Anbieterkategorie: Schlüsselspeicheranbieter
Algorithmusname: RSA
Anbieter:Microsoft Platform-Krypotografieanbieter
Die Einstellungen für die Anforderungsverarbeitung sind nicht ordnungsgemäß konfiguriert. Stellen Sie sicher, dass sie wie folgt konfiguriert sind:
Die Option Export des privaten Schlüssels zulassen darf nicht ausgewählt sein.
Die Option Privaten Verschlüsselungsschlüssel des Antragstellers archivieren darf nicht ausgewählt sein.
Überprüfung des TPM-Geräts für Nachweis
Verwenden Sie das Windows PowerShell-Cmdlet Confirm-CAEndorsementKeyInfo, um zu überprüfen, ob ein bestimmtes TPM-Gerät für den Nachweis durch Zertifizierungsstellen vertrauenswürdig ist. Es gibt zwei Optionen: eine zum Überprüfen des EKCert und eine andere zum Überprüfen eines EKPub. Das Cmdlet wird entweder lokal in einer Zertifizierungsstelle oder mit Windows PowerShell Remoting in Remotezertifizierungsstellen ausgeführt.
Führen Sie zum Überprüfen der Vertrauensstellung für einen EKPub die beiden folgenden Schritte aus:
Extrahieren des EKPub vom Clientcomputer: Der EKPub kann über Get-TpmEndorsementKeyInfo von einem Clientcomputer extrahiert werden. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten Folgendes aus:
PS C:>\$a=Get-TpmEndorsementKeyInfo -hashalgorithm sha256
Überprüfen der Vertrauensstellung eines EKCert auf einem Zertifizierungsstellencomputer: Kopieren Sie die extrahierte Zeichenfolge (den SHA-2-Hash des EKPub) auf den Server (z. B. per E-Mail), und übergeben Sie sie an das Cmdlet Confirm-CAEndorsementKeyInfo. Beachten Sie, dass dieser Parameter 64 Zeichen lang sein muss.
Confirm-CAEndorsementKeyInfo [-PublicKeyHash] <string>
Führen Sie zum Überprüfen der Vertrauensstellung für einen EKCert die beiden folgenden Schritte aus:
Extrahieren des EKCert vom Clientcomputer: Der EKCert kann über Get-TpmEndorsementKeyInfo von einem Clientcomputer extrahiert werden. Führen Sie an einer Eingabeaufforderung mit erhöhten Rechten Folgendes aus:
PS C:>\$a=Get-TpmEndorsementKeyInfo PS C:>\$a.manufacturerCertificates|Export-Certificate -filepath c:\myEkcert.cer
Überprüfen der Vertrauensstellung eines EKCert auf einem Zertifizierungsstellencomputer: Kopieren Sie das extrahierte EKCert (EkCert.cer) in die Zertifizierungsstelle (z. B. per E-Mail oder XCopy). Wenn Sie beispielsweise die Zertifikatdatei in den Ordner „c:\diagnose“ auf dem Zertifizierungsstellenserver kopieren, führen Sie Folgendes aus, um die Überprüfung abzuschließen:
PS C:>new-object System.Security.Cryptography.X509Certificates.X509Certificate2 "c:\diagnose\myEKcert.cer" | Confirm-CAEndorsementKeyInfo
Weitere Informationen
Übersicht über Trusted Platform Module-TechnologieExterne Ressource: Trusted Platform Module