Installiert man eine ausstellende Zertifizierungsstelle (Issuing CA) und beantragt nicht explizit eine Ausstellungsrichtlinie (Issuance Policy) beinhaltet das resultierende Zertifizierungsstellen-Zertifikat keine Ausstellungsrichtlinien.
Möchte man die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in das Zertifizierungsstellen-Zertifikat aufnehmen, muss wie folgt vorgegangen werden.
Folgende OIDs werden für die TPM Key Attestation verwendet.
OID | Bedeutung |
---|---|
1.3.6.1.4.1.311.21.32 | TPM Key Attestattion: User Credentials: (Low Assurance) |
1.3.6.1.4.1.311.21.31 | TPM Key Attestattion: Endorsement Certificate: (Medium Assurance) |
1.3.6.1.4.1.311.21.30 | TPM Key Attestattion: Endorsement Key: (High Assurance) |
Umsetzung
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Für die Aufnahme von Ausstellungsrichtlinien in ein Zertifizierungsstellen-Zertifikat ist es erforderlich, dass ein neuer Zertifikatantrag gestellt und ein neues Zertifizierungstellen-Zertifikat ausgestellt wird. Da das bestehende Zertifikat signiert ist, kann es nicht verändert werden.
Damit die Ausstellungsrichtlinien in den Zertifikatantrag aufgenommen werden, muss vor Antragstellung die Datei C:\Windows\capolicy.inf bearbeitet werden. Folgender Absatz muss aufgenommen werden:
[PolicyStatementExtension]
Policies=TpmLowAssurancePolicy,TpmMediumAssurancePolicy,TpmHighAssurancePolicy
; TPM Key Attestattion: User Credentials (Low Assurance)
[TpmLowAssurancePolicy]
OID=1.3.6.1.4.1.311.21.32
; TPM Key Attestattion: Endorsement Certificate (Medium Assurance)
[TpmMediumAssurancePolicy]
OID=1.3.6.1.4.1.311.21.31
; TPM Key Attestattion: Endorsement Key (High Assurance)
[TpmHighAssurancePolicy]
OID=1.3.6.1.4.1.311.21.30
Anschließend kann ein neuer Zertifikatantrag gestellt werden.
Nachdem die Zertifikatanforderung durch die übergeordnete Zertifizierungsstelle signiert wurde, sollte das neue Zertifizierungsstellen-Zertifikat die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation beinhalten.
3 Gedanken zu „Die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in ein Zertifizierungsstellen-Zertifikat aufnehmen“
Kommentare sind geschlossen.