Code source wiki de RangeeOS - TPM Herausforderungen und Lösungen
Modifié par Tobias Wintrich le 2025/12/12 08:09
Masquer les derniers auteurs
| author | version | line-number | content |
|---|---|---|---|
 |
14.1 | 1 | Ab RangeeOS 13 verwendet das System zur Verschlüsselung sensibler Daten ein zertifikatsbasiertes, TPM-gestütztes Verfahren. Beim ersten Start prüft das OS automatisch, ob ein funktionsfähiges TPM-Modul vorhanden ist. Ist dies nicht der Fall, wird ein reguläres Zertifikat ohne TPM-Unterstützung zur Datenverschlüsselung genutzt. |
| |
2.1 | 2 | |
| |
14.1 | 3 | Die Verwendung eines TPM-Moduls schützt Ihre Daten vor dem Auslesen über fremde Hardware, kann jedoch in bestimmten Szenarien zu Problemen führen. Nachfolgend finden Sie mögliche Herausforderungen sowie entsprechende Lösungen. |
| |
2.1 | 4 | |
| |
3.1 | 5 | {{toc/}} |
| 6 | |||
| |
2.1 | 7 | = Herausforderungen = |
| 8 | |||
| 9 | == RangeeOS auf USB-Stick == | ||
| 10 | |||
| |
14.1 | 11 | Wenn RangeeOS von einem USB-Stick gestartet und auf unterschiedlicher Hardware betrieben werden soll, muss die Nutzung eines [[Verschlüsselungszertifikats ohne TPM explizit erzwungen werden>>doc:||anchor="force"]]. Diese Option muss pro USB-Stick einmalig ausgeführt werden. |
| |
2.1 | 12 | |
| |
14.1 | 13 | == TPM-Schlüssel werden „vergessen“ == |
| |
2.1 | 14 | |
| |
14.1 | 15 | Insbesondere bei älteren Geräten kommt es vor, dass ein gültiges TPM-Modul gemeldet wird und die Erstellung eines TPM-gestützten Zertifikats zunächst erfolgreich ist, dieses aber anschließend nicht mehr zur Entschlüsselung genutzt werden kann. In diesem Fall muss die Nutzung des TPM-Moduls für die [[Verschlüsselung manuell deaktiviert>>doc:||anchor="loesung"]] werden. |
| |
2.1 | 16 | |
| |
14.1 | 17 | = Lösungen**{{id name="loesung"/}}** = |
| |
2.1 | 18 | |
| |
14.1 | 19 | Bei Problemen mit dem TPM-Modul muss dessen Nutzung deaktiviert werden. Die Optionen zur Steuerung der TPM-Nutzung erfordern die Aktivierung des [[Expertenmodus>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.M Expertenmodus.WebHome]] der Kommbox. |
| |
2.1 | 20 | |
| |
14.1 | 21 | [[image:1765521601853-591.png]] |
| 22 | |||
| |
15.1 | 23 | == Deaktivieren bzw. „Verstecken“ des TPM-Moduls im Geräte-BIOS == |
| |
14.1 | 24 | |
| |
16.1 | 25 | Wird RangeeOS anschließend neu installiert, erzeugt das System automatisch ein Zertifikat ohne TPM-Unterstützung. Ist das OS bereits installiert, muss das Zertifikat einmalig über **System **-> [[Bootloader>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] -> **Gerätezertifikat neu erstellen** neu generiert werden. Die Option *TPM für Gerätezertifikat aktivieren* muss dabei nicht zwingend deaktiviert werden – sobald das Gerät kein TPM-Modul mehr erkennt, greift automatisch der Fallback auf ein nicht TPM-gestütztes Zertifikat. |
| |
14.1 | 26 | |
| 27 | == Erzwingen der Zertifikatserstellung ohne TPM{{id name="force"/}} == | ||
| 28 | |||
| |
16.1 | 29 | Alternativ kann das OS angewiesen werden, das TPM-Modul grundsätzlich nicht zu verwenden. **Deaktivieren** Sie hierzu die Option **System **-> [[Bootloader>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] -> **TPM für Gerätezertifikat aktivieren** und führen Sie anschließend **Gerätezertifikat neu erstellen** aus. |
| |
14.1 | 30 | |
| 31 | (% class="box infomessage" %) | ||
| |
2.1 | 32 | ((( |
| |
15.1 | 33 | Die Option **TPM für Gerätezertifikat aktivieren **kann auch über eine TCMS-Konfiguration verteilt werden. Sie beeinflusst jedoch ausschließlich die Neuerstellung von Verschlüsselungszertifikaten. Geräte, die von älteren Versionen auf RangeeOS 13 aktualisiert werden, umgehen damit automatisch das TPM-Modul. Auf Geräten, auf denen bereits ein Zertifikat existiert, hat diese Option hingegen keine Wirkung. |
| |
2.1 | 34 | ))) |
| 35 | |||
| 36 |