Die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in ein Zertifizierungsstellen-Zertifikat aufnehmen

Installiert man eine ausstellende Zertifizierungsstelle (Issuing CA) und beantragt nicht explizit eine Ausstellungsrichtlinie (Issuance Policy) beinhaltet das resultierende Zertifizierungsstellen-Zertifikat keine Ausstellungsrichtlinien.

Möchte man die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in das Zertifizierungsstellen-Zertifikat aufnehmen, muss wie folgt vorgegangen werden.

Folgende OIDs werden für die TPM Key Attestation verwendet.

OIDBedeutung
1.3.6.1.4.1.311.21.32TPM Key Attestattion: User Credentials: (Low Assurance)
1.3.6.1.4.1.311.21.31TPM Key Attestattion: Endorsement Certificate: (Medium Assurance)
1.3.6.1.4.1.311.21.30TPM Key Attestattion: Endorsement Key: (High Assurance)

Für die Aufnahme von Ausstellungsrichtlinien in ein Zertifizierungsstellen-Zertifikat ist es erforderlich, dass ein neuer Zertifikatantrag gestellt und ein neues Zertifizierungstellen-Zertifikat ausgestellt wird. Da das bestehende Zertifikat signiert ist, kann es nicht verändert werden.

Damit die Ausstellungsrichtlinien in den Zertifikatantrag aufgenommen werden, muss vor Antragstellung die Datei C:\Windows\capolicy.inf bearbeitet werden. Folgender Absatz muss aufgenommen werden:

[PolicyStatementExtension]
Policies=TpmLowAssurancePolicy,TpmMediumAssurancePolicy,TpmHighAssurancePolicy

; TPM Key Attestattion: User Credentials (Low Assurance)
[TpmLowAssurancePolicy]
OID=1.3.6.1.4.1.311.21.32

; TPM Key Attestattion: Endorsement Certificate (Medium Assurance)
[TpmMediumAssurancePolicy]
OID=1.3.6.1.4.1.311.21.31

; TPM Key Attestattion: Endorsement Key (High Assurance)
[TpmHighAssurancePolicy]
OID=1.3.6.1.4.1.311.21.30

Anschließend kann ein neuer Zertifikatantrag gestellt werden.

Nachdem die Zertifikatanforderung durch die übergeordnete Zertifizierungsstelle signiert wurde, sollte das neue Zertifizierungsstellen-Zertifikat die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation beinhalten.

Weiterführende Links:

3 Gedanken zu „Die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in ein Zertifizierungsstellen-Zertifikat aufnehmen“

Kommentare sind geschlossen.