Code source wiki de RangeeOS - TPM Herausforderungen und Lösungen
Modifié par Taha Gabdouri le 2025/12/17 10:27
Afficher les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
| 1 | À partir de RangeeOS 13, le système utilise, pour le chiffrement des données sensibles, un procédé basé sur des certificats et pris en charge par le TPM. Lors du premier démarrage, le système d’exploitation vérifie automatiquement la présence d’un module TPM fonctionnel. Si tel n’est pas le cas, un certificat standard sans prise en charge du TPM est utilisé pour le chiffrement des données. | ||
| 2 | |||
| 3 | L’utilisation d’un module TPM protège vos données contre toute lecture via du matériel tiers, mais peut toutefois entraîner des difficultés dans certains scénarios. Vous trouverez ci-après les défis possibles ainsi que les solutions correspondantes. | ||
| 4 | |||
| 5 | {{toc/}} | ||
| 6 | |||
| 7 | = Défis = | ||
| 8 | |||
| 9 | == **RangeeOS sur clé USB** == | ||
| 10 | |||
| 11 | Lorsque RangeeOS est démarré depuis une clé USB et doit être utilisé sur différents matériels, l’utilisation d'un [[certificat de chiffrement sans TPM doit être explicitement imposée>>doc:||anchor="force"]]. Cette option doit être exécutée **une seule fois par clé USB**. | ||
| 12 | |||
| 13 | == **Les clés TPM sont « oubliées »** == | ||
| 14 | |||
| 15 | En particulier sur des appareils plus anciens, il arrive qu’un module TPM valide soit détecté et que la création d’un certificat basé sur le TPM réussisse dans un premier temps, mais que celui-ci ne puisse ensuite plus être utilisé pour le déchiffrement. Dans ce cas, l’utilisation du module TPM pour** **[[le chiffrement doit être désactivée manuellement.>>doc:||anchor="loesung"]] | ||
| 16 | |||
| 17 | = **Solutions{{id name="loesung"/}}** = | ||
| 18 | |||
| 19 | En cas de problèmes liés au module TPM, son utilisation doit être désactivée. Les options permettant de contrôler l’utilisation du TPM nécessitent l’activation du [[mode expert>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.M Expertenmodus.WebHome]] de la Kommbox. | ||
| 20 | |||
| 21 | [[image:1765521601853-591.png]] | ||
| 22 | |||
| 23 | == **Désactivation ou « masquage » du module TPM dans le BIOS de l’appareil** == | ||
| 24 | |||
| 25 | Si RangeeOS est ensuite réinstallé, le système génère automatiquement un **certificat sans prise en charge du TPM**. Si le système d’exploitation est déjà installé, le certificat doit être **regénéré une seule fois** via : | ||
| 26 | **Système → Bootloader → Régénérer le certificat de l’appareil**. | ||
| 27 | L’option //Activer le TPM pour le certificat de l’appareil// n’a pas besoin d’être désactivée : dès que l’appareil ne détecte plus de module TPM, le système bascule automatiquement sur un **certificat sans TPM**. | ||
| 28 | |||
| 29 | == **Forcer la création d’un certificat sans TPM**{{id name="force"/}} == | ||
| 30 | |||
| 31 | * Désactivez l’option **Système → Bootloader → Activer le TPM pour le certificat de l’appareil**. | ||
| 32 | * Exécutez ensuite **Régénérer le certificat de l’appareil**. | ||
| 33 | |||
| 34 | (% class="box infomessage" %) | ||
| 35 | ((( | ||
| 36 | L’option **Activer le TPM pour le certificat de l’appareil** peut également être déployée via une **configuration TCMS**. Cependant, elle **n’influence que la création de nouveaux certificats de chiffrement**. Les appareils mis à jour depuis des versions antérieures vers **RangeeOS 13** contournent automatiquement le module TPM grâce à cette option. En revanche, sur les appareils **où un certificat existe déjà**, cette option **n’a aucun effet**. | ||
| 37 | ))) | ||
| 38 | |||
| 39 |