Die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in ein Zertifizierungsstellen-Zertifikat aufnehmen

Autor Uwe GradeneggerVeröffentlicht am Kategorien Zertifikat-BenutzungSchlagwörter , , ,

Installiert man eine ausstellende Zertifizierungsstelle (Issuing CA) und beantragt nicht explizit eine Ausstellungsrichtlinie (Issuance Policy) beinhaltet das resultierende Zertifizierungsstellen-Zertifikat keine Ausstellungsrichtlinien.

Möchte man die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in das Zertifizierungsstellen-Zertifikat aufnehmen, muss wie folgt vorgegangen werden.

Folgende OIDs werden für die TPM Key Attestation verwendet.

OIDBedeutung
1.3.6.1.4.1.311.21.32TPM Key Attestattion: User Credentials: (Low Assurance)
1.3.6.1.4.1.311.21.31TPM Key Attestattion: Endorsement Certificate: (Medium Assurance)
1.3.6.1.4.1.311.21.30TPM Key Attestattion: Endorsement Key: (High Assurance)

Umsetzung

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Für die Aufnahme von Ausstellungsrichtlinien in ein Zertifizierungsstellen-Zertifikat ist es erforderlich, dass ein neuer Zertifikatantrag gestellt und ein neues Zertifizierungstellen-Zertifikat ausgestellt wird. Da das bestehende Zertifikat signiert ist, kann es nicht verändert werden.

Damit die Ausstellungsrichtlinien in den Zertifikatantrag aufgenommen werden, muss vor Antragstellung die Datei C:\Windows\capolicy.inf bearbeitet werden. Folgender Absatz muss aufgenommen werden: 

[PolicyStatementExtension]
Policies=TpmLowAssurancePolicy,TpmMediumAssurancePolicy,TpmHighAssurancePolicy

; TPM Key Attestattion: User Credentials (Low Assurance)
[TpmLowAssurancePolicy]
OID=1.3.6.1.4.1.311.21.32

; TPM Key Attestattion: Endorsement Certificate (Medium Assurance)
[TpmMediumAssurancePolicy]
OID=1.3.6.1.4.1.311.21.31

; TPM Key Attestattion: Endorsement Key (High Assurance)
[TpmHighAssurancePolicy]
OID=1.3.6.1.4.1.311.21.30

Anschließend kann ein neuer Zertifikatantrag gestellt werden.

Nachdem die Zertifikatanforderung durch die übergeordnete Zertifizierungsstelle signiert wurde, sollte das neue Zertifizierungsstellen-Zertifikat die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation beinhalten.

Weiterführende Links:

3 Gedanken zu „Die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in ein Zertifizierungsstellen-Zertifikat aufnehmen“

  1. Pingback: Details zum Ereignis mit ID 53 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger
  2. Pingback: Die Wildcard Ausstellungsrichtlinie (All Issuance Policies) in ein Zertifizierungsstellen-Zertifikat aufnehmen – Uwe Gradenegger
  3. Pingback: Konfigurieren der Trusted Platform Module (TPM) Key Attestation – Uwe Gradenegger

Kommentare sind geschlossen.

de_DEDeutsch
en_USEnglish de_DEDeutsch