Si l'on installe une autorité de certification émettrice (Issuing CA) et que l'on ne demande pas explicitement une politique d'émission (Issuance Policy), le certificat d'autorité de certification qui en résulte ne contient pas de politique d'émission.
Si l'on souhaite inclure les directives d'émission (Issuance Policies) pour Trusted Platform (TPM) Key Attestation dans le certificat d'autorité de certification, il faut procéder comme suit.
Les OID suivants sont utilisés pour l'attestation de clé TPM.
| OID | Signification |
|---|---|
| 1.3.6.1.4.1.311.21.32 | TPM Key Attestattion : User Credentials : (Low Assurance) |
| 1.3.6.1.4.1.311.21.31 | TPM Key Attestattion : Endorsement Certificate : (Assurance moyenne) |
| 1.3.6.1.4.1.311.21.30 | TPM Key Attestattion : Endorsement Key : (Haute assurance) |
Mise en œuvre
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Pour inclure des directives d'émission dans un certificat d'autorité de certification, il est nécessaire d'introduire une nouvelle demande de certificat et d'émettre un nouveau certificat d'autorité de certification. Comme le certificat existant est signé, il ne peut pas être modifié.
Pour que les directives d'émission soient incluses dans la demande de certificat, le fichier C:\Windows\capolicy.inf doit être édité avant le dépôt de la demande. Le paragraphe suivant doit être ajouté :
[PolicyStatementExtension]
Policies=TpmLowAssurancePolicy,TpmMediumAssurancePolicy,TpmHighAssurancePolicy
; TPM Key Attestattion: User Credentials (Low Assurance)
[TpmLowAssurancePolicy]
OID=1.3.6.1.4.1.311.21.32
; TPM Key Attestattion: Endorsement Certificate (Medium Assurance)
[TpmMediumAssurancePolicy]
OID=1.3.6.1.4.1.311.21.31
; TPM Key Attestattion: Endorsement Key (High Assurance)
[TpmHighAssurancePolicy]
OID=1.3.6.1.4.1.311.21.30
Une nouvelle demande de certificat peut ensuite être introduite.
Une fois la demande de certificat signée par l'autorité de certification supérieure, le nouveau certificat d'autorité de certification doit contenir les directives d'émission (Issuance Policies) pour l'attestation de clé Trusted Platform (TPM).
Français 
Deutsch 
English
Les commentaires sont fermés.