RangeeOS - TPM Herausforderungen und Lösungen

1

Ab RangeeOS 13 nutzt das System zur Verschlüsselung schützenswerter Daten eine Zertifikatsbasierte, TPM gestützte Verschlüsselung. Das OS erkennt beim ersten Start ob ein nutzbares TPM-Moduls vorhanden ist. Ist dies nicht der Fall wird ein "normales" Zertifikat für die Verschlüsselung der Daten verwendet.

2

3

Die Nutzung des TPM-Moduls schützt ihre Daten vor dem auslesen über fremde Hardware, kann jedoch auch zu Problemen führen. Im folgenden sind Mögliche Probleme und deren Lösungen beschrieben.

= Herausforderungen =

8

9

== RangeeOS auf USB-Stick ==

10

11

Sobald das RangeeOS von einem USB-Stick gebootet werden soll und auf unterschiedlicher Hardware nutzbar sein muss, muss die Nutzung eines [[Verschlüsselungszertifikat ohne TPM vom OS erzwungen werden>>doc:||anchor="force"]]. Die Option muss je Stick einmalig ausgeführt werden.

12

13

== TPM Schlüssel werden "vergessen" ==

14

15

Leider kommt es gerade bei älterer Hardware häufiger vor, dass diese dem OS ein gültiges TPM-Modul melden, die Erstellung des entsprechenden Zertifikats auch funktioniert, dieses aber anschließend nicht mehr zur Entschlüsselung Nutzen können. In diesem Fall muss die Nutzung des TPM-Moduls für die [[Verschlüsselung explizit deaktiviert>>doc:||anchor="loesung"]] werden.

16

17

= Lösung**{{id name="loesung"/}}** =

18

19

Bei Problemen mit dem TPM-Modul muss dessen Nutzung unterbunden werden. Hierzu gibt es grundsätzlich 2 Optionen:

20

21

* **Deaktivieren bzw. "verstecken" Sie das Modul über das Gerätebios **

22

Wird das RangeeOS neu installiert, wird anschließend automatisch ein nicht TPM-gestütztes Zertifikat für die Verschlüsselung genutzt. Ist es bereits installiert, muss das Zertifikat einmalig über **S[[ystem >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]]**[[-~> **Bootloader **-~> >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]]**[[Gerätezertifikat neu erstellen>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] **neu generiert werden. Die Option **TPM für Gerätezertifikat aktivieren **muss hier nicht zwangsweise gesetzt werden, da wenn das Gerät kein TPM Modul mehr im System findet, der automatische Fallback greift

23

* **Zertifikate ohne TPM Nutzung erzwingen {{id name="force"/}}**

24

Neben der Option das Modul vor dem OS zu verstecken, können Sie ebenfalls das OS anweisen das Modul nicht zu Nutzen. **Deaktivieren **Sie hierzu die Option [[**System **-~> **Bootloader **-~> **TPM für Gerätezertifikat aktivieren**>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] und führen Sie anschließend** Gerätezertifikat neu erstellen **aus**.**(% class="box infomessage" %)

25

(((

26

Sie können die Option **TPM für Gerätezertifikat aktivieren **auch als Teil einer TCMS Konfiguration verteilen. Die Option beeinflusst allerdings nur das neue Erstellen von Verschlüsselungszertifikaten. Geräte welche von vorherigen auf eine RangeeOS 13 Version wechseln, würden somit automatisch das TPM-Modul umgehen. Auf Geräten welche bereits ein Zertifikat generiert haben, hat diese Option keinerlei Einfluss.

27

)))

28

29

Die Optionen zur Steuerung der TPM Nutzung erfordern die Aktivierung des [[Expertenmodus >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.M Expertenmodus.WebHome]]der Kommbox.

30

31

[[image:1765521601853-591.png]]

32

33

Wiki-Quellcode von RangeeOS - TPM Herausforderungen und Lösungen

Featured

Navigation

Zuletzt erstellt

author	version	line-number	content
		1	Ab RangeeOS 13 nutzt das System zur Verschlüsselung schützenswerter Daten eine Zertifikatsbasierte, TPM gestützte Verschlüsselung. Das OS erkennt beim ersten Start ob ein nutzbares TPM-Moduls vorhanden ist. Ist dies nicht der Fall wird ein "normales" Zertifikat für die Verschlüsselung der Daten verwendet.
		2
		3	Die Nutzung des TPM-Moduls schützt ihre Daten vor dem auslesen über fremde Hardware, kann jedoch auch zu Problemen führen. Im folgenden sind Mögliche Probleme und deren Lösungen beschrieben.
		4
		5	{{toc/}}
		6
		7	= Herausforderungen =
		8
		9	== RangeeOS auf USB-Stick ==
		10
		11	Sobald das RangeeOS von einem USB-Stick gebootet werden soll und auf unterschiedlicher Hardware nutzbar sein muss, muss die Nutzung eines [[Verschlüsselungszertifikat ohne TPM vom OS erzwungen werden>>doc:\|\|anchor="force"]]. Die Option muss je Stick einmalig ausgeführt werden.
		12
		13	== TPM Schlüssel werden "vergessen" ==
		14
		15	Leider kommt es gerade bei älterer Hardware häufiger vor, dass diese dem OS ein gültiges TPM-Modul melden, die Erstellung des entsprechenden Zertifikats auch funktioniert, dieses aber anschließend nicht mehr zur Entschlüsselung Nutzen können. In diesem Fall muss die Nutzung des TPM-Moduls für die [[Verschlüsselung explizit deaktiviert>>doc:\|\|anchor="loesung"]] werden.
		16
		17	= Lösung{{id name="loesung"/}} =
		18
		19	Bei Problemen mit dem TPM-Modul muss dessen Nutzung unterbunden werden. Hierzu gibt es grundsätzlich 2 Optionen:
		20
		21	* Deaktivieren bzw. "verstecken" Sie das Modul über das Gerätebios
		22	Wird das RangeeOS neu installiert, wird anschließend automatisch ein nicht TPM-gestütztes Zertifikat für die Verschlüsselung genutzt. Ist es bereits installiert, muss das Zertifikat einmalig über S[[ystem >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]][[-~> Bootloader -~> >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]][[Gerätezertifikat neu erstellen>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] neu generiert werden. Die Option TPM für Gerätezertifikat aktivieren muss hier nicht zwangsweise gesetzt werden, da wenn das Gerät kein TPM Modul mehr im System findet, der automatische Fallback greift
		23	* Zertifikate ohne TPM Nutzung erzwingen {{id name="force"/}}
		24	Neben der Option das Modul vor dem OS zu verstecken, können Sie ebenfalls das OS anweisen das Modul nicht zu Nutzen. Deaktivieren Sie hierzu die Option [[System -~> Bootloader -~> TPM für Gerätezertifikat aktivieren>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] und führen Sie anschließend Gerätezertifikat neu erstellen aus.(% class="box infomessage" %)
		25	(((
		26	Sie können die Option TPM für Gerätezertifikat aktivieren auch als Teil einer TCMS Konfiguration verteilen. Die Option beeinflusst allerdings nur das neue Erstellen von Verschlüsselungszertifikaten. Geräte welche von vorherigen auf eine RangeeOS 13 Version wechseln, würden somit automatisch das TPM-Modul umgehen. Auf Geräten welche bereits ein Zertifikat generiert haben, hat diese Option keinerlei Einfluss.
		27	)))
		28
		29	Die Optionen zur Steuerung der TPM Nutzung erfordern die Aktivierung des [[Expertenmodus >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.M Expertenmodus.WebHome]]der Kommbox.
		30
		31	[[image:1765521601853-591.png]]
		32
		33

Wiki-Quellcode von RangeeOS - TPM Herausforderungen und Lösungen

Featured

Zuletzt erstellt

Themen