Installiert man eine ausstellende Zertifizierungsstelle (Issuing CA) und beantragt nicht explizit eine Ausstellungsrichtlinie (Issuance Policy) beinhaltet das resultierende Zertifizierungsstellen-Zertifikat keine Ausstellungsrichtlinien.
Möchte man die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in das Zertifizierungsstellen-Zertifikat aufnehmen, muss wie folgt vorgegangen werden.
Folgende OIDs werden für die TPM Key Attestation verwendet.
OID | Bedeutung |
---|---|
1.3.6.1.4.1.311.21.32 | TPM Key Attestattion: User Credentials: (Low Assurance) |
1.3.6.1.4.1.311.21.31 | TPM Key Attestattion: Endorsement Certificate: (Medium Assurance) |
1.3.6.1.4.1.311.21.30 | TPM Key Attestattion: Endorsement Key: (High Assurance) |
Für die Aufnahme von Ausstellungsrichtlinien in ein Zertifizierungsstellen-Zertifikat ist es erforderlich, dass ein neuer Zertifikatantrag gestellt und ein neues Zertifizierungstellen-Zertifikat ausgestellt wird. Da das bestehende Zertifikat signiert ist, kann es nicht verändert werden.
Damit die Ausstellungsrichtlinien in den Zertifikatantrag aufgenommen werden, muss vor Antragstellung die Datei C:\Windows\capolicy.inf bearbeitet werden. Folgender Absatz muss aufgenommen werden:
[PolicyStatementExtension]
Policies=TpmLowAssurancePolicy,TpmMediumAssurancePolicy,TpmHighAssurancePolicy
; TPM Key Attestattion: User Credentials (Low Assurance)
[TpmLowAssurancePolicy]
OID=1.3.6.1.4.1.311.21.32
; TPM Key Attestattion: Endorsement Certificate (Medium Assurance)
[TpmMediumAssurancePolicy]
OID=1.3.6.1.4.1.311.21.31
; TPM Key Attestattion: Endorsement Key (High Assurance)
[TpmHighAssurancePolicy]
OID=1.3.6.1.4.1.311.21.30
Anschließend kann ein neuer Zertifikatantrag gestellt werden.
Nachdem die Zertifikatanforderung durch die übergeordnete Zertifizierungsstelle signiert wurde, sollte das neue Zertifizierungsstellen-Zertifikat die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation beinhalten.
3 Gedanken zu „Die Ausstellungsrichtlinien (Issuance Policies) für Trusted Platform (TPM) Key Attestation in ein Zertifizierungsstellen-Zertifikat aufnehmen“
Kommentare sind geschlossen.