Skip to Content
Last modified by Tobias Wintrich on 2025/12/12 08:09
From version 13.1
edited by Tobias Wintrich
on 2025/12/12 08:02
Change comment: There is no comment for this version
To version 15.1
edited by Tobias Wintrich
on 2025/12/12 08:09
Change comment: There is no comment for this version

Summary

Details

Page properties
Content
... ... @@ -1,6 +1,6 @@
1 -Ab RangeeOS 13 nutzt das System zur Verschlüsselung schützenswerter Daten eine Zertifikatsbasierte, TPM gestützte Verschlüsselung. Das OS erkennt beim ersten Start ob ein nutzbares TPM-Moduls vorhanden ist. Ist dies nicht der Fall wird ein "normales" Zertifikat für die Verschlüsselung der Daten verwendet.
1 +Ab RangeeOS 13 verwendet das System zur Verschlüsselung sensibler Daten ein zertifikatsbasiertes, TPM-gestütztes Verfahren. Beim ersten Start prüft das OS automatisch, ob ein funktionsfähiges TPM-Modul vorhanden ist. Ist dies nicht der Fall, wird ein reguläres Zertifikat ohne TPM-Unterstützung zur Datenverschlüsselung genutzt.
2 2  
3 -Die Nutzung des TPM-Moduls schützt ihre Daten vor dem auslesen über fremde Hardware, kann jedoch auch zu Problemen führen. Im folgenden sind Mögliche Probleme und deren Lösungen beschrieben.
3 +Die Verwendung eines TPM-Moduls schützt Ihre Daten vor dem Auslesen über fremde Hardware, kann jedoch in bestimmten Szenarien zu Problemen führen. Nachfolgend finden Sie mögliche Herausforderungen sowie entsprechende Lösungen.
4 4  
5 5  {{toc/}}
6 6  
... ... @@ -8,26 +8,29 @@
8 8  
9 9  == RangeeOS auf USB-Stick ==
10 10  
11 -Sobald das RangeeOS von einem USB-Stick gebootet werden soll und auf unterschiedlicher Hardware nutzbar sein muss, muss die Nutzung eines [[Verschlüsselungszertifikat ohne TPM vom OS erzwungen werden>>doc:||anchor="force"]]. Die Option muss je Stick einmalig ausgeführt werden.
11 +Wenn RangeeOS von einem USB-Stick gestartet und auf unterschiedlicher Hardware betrieben werden soll, muss die Nutzung eines [[Verschlüsselungszertifikats ohne TPM explizit erzwungen werden>>doc:||anchor="force"]]. Diese Option muss pro USB-Stick einmalig ausgeführt werden.
12 12  
13 -== TPM Schlüssel werden "vergessen" ==
13 +== TPM-Schlüssel werden vergessen ==
14 14  
15 -Leider kommt es gerade bei älterer Hardware häufiger vor, dass diese dem OS ein gültiges TPM-Modul melden, die Erstellung des entsprechenden Zertifikats auch funktioniert, dieses aber anschließend nicht mehr zur Entschlüsselung Nutzen können. In diesem Fall muss die Nutzung des TPM-Moduls für die [[Verschlüsselung explizit deaktiviert>>doc:||anchor="loesung"]] werden.
15 +Insbesondere bei älteren Geräten kommt es vor, dass ein gültiges TPM-Modul gemeldet wird und die Erstellung eines TPM-gestützten Zertifikats zuchst erfolgreich ist, dieses aber anschließend nicht mehr zur Entschlüsselung genutzt werden kann. In diesem Fall muss die Nutzung des TPM-Moduls für die [[Verschlüsselung manuell deaktiviert>>doc:||anchor="loesung"]] werden.
16 16  
17 -= Lösung**{{id name="loesung"/}}** =
17 += Lösungen**{{id name="loesung"/}}** =
18 18  
19 -Bei Problemen mit dem TPM-Modul muss dessen Nutzung unterbunden werden. Hierzu gibt es grundsätzlich 2 Optionen:
19 +Bei Problemen mit dem TPM-Modul muss dessen Nutzung deaktiviert werden. Die Optionen zur Steuerung der TPM-Nutzung erfordern die Aktivierung des [[Expertenmodus>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.M Expertenmodus.WebHome]] der Kommbox.
20 20  
21 -* **Deaktivieren bzw. "verstecken" Sie das Modul über das Gerätebios **
22 -Wird das RangeeOS neu installiert, wird anschließend automatisch ein nicht TPM-gestütztes Zertifikat für die Verschlüsselung genutzt. Ist es bereits installiert, muss das Zertifikat einmalig über **S[[ystem >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]]**[[-~> **Bootloader **-~> >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]]**[[Gerätezertifikat neu erstellen>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] **neu generiert werden. Die Option **TPM für Gerätezertifikat aktivieren **muss hier nicht zwangsweise gesetzt werden, da wenn das Gerät kein TPM Modul mehr im System findet, der automatische Fallback greift
23 -* **Zertifikate ohne TPM Nutzung erzwingen {{id name="force"/}}**
24 -Neben der Option das Modul vor dem OS zu verstecken, können Sie ebenfalls das OS anweisen das Modul nicht zu Nutzen. **Deaktivieren **Sie hierzu die Option [[**System **-~> **Bootloader **-~> **TPM für Gerätezertifikat aktivieren**>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] und führen Sie anschließend** Gerätezertifikat neu erstellen **aus**.**(% class="box infomessage" %)
25 -(((
26 -Sie können die Option **TPM für Gerätezertifikat aktivieren **auch als Teil einer TCMS Konfiguration verteilen. Die Option beeinflusst allerdings nur das neue Erstellen von Verschlüsselungszertifikaten. Geräte welche von vorherigen auf eine RangeeOS 13 Version wechseln, würden somit automatisch das TPM-Modul umgehen. Auf Geräten welche bereits ein Zertifikat generiert haben, hat diese Option keinerlei Einfluss.
27 -)))
21 +[[image:1765521601853-591.png]]
28 28  
29 -Die Optionen zur Steuerung der TPM Nutzung erfordern die Aktivierung des [[Expertenmodus >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.M Expertenmodus.WebHome]]der Kommbox.
23 +== Deaktivieren bzw. „Verstecken des TPM-Moduls im Geräte-BIOS ==
30 30  
31 -[[image:1765521601853-591.png]]
25 +Wird RangeeOS anschließend neu installiert, erzeugt das System automatisch ein Zertifikat ohne TPM-Unterstützung. Ist das OS bereits installiert, muss das Zertifikat einmalig über **System **-> [[**Bootloader **>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]]-> **Gerätezertifikat neu erstellen** neu generiert werden. Die Option *TPM für Gerätezertifikat aktivieren* muss dabei nicht zwingend deaktiviert werden – sobald das Gerät kein TPM-Modul mehr erkennt, greift automatisch der Fallback auf ein nicht TPM-gestütztes Zertifikat.
32 32  
27 +== Erzwingen der Zertifikatserstellung ohne TPM{{id name="force"/}} ==
28 +
29 +Alternativ kann das OS angewiesen werden, das TPM-Modul grundsätzlich nicht zu verwenden. **Deaktivieren** Sie hierzu die Option **System **-> [[**Bootloader **>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]]-> **TPM für Gerätezertifikat aktivieren** und führen Sie anschließend **Gerätezertifikat neu erstellen** aus.
30 +
31 +(% class="box infomessage" %)
32 +(((
33 +Die Option **TPM für Gerätezertifikat aktivieren **kann auch über eine TCMS-Konfiguration verteilt werden. Sie beeinflusst jedoch ausschließlich die Neuerstellung von Verschlüsselungszertifikaten. Geräte, die von älteren Versionen auf RangeeOS 13 aktualisiert werden, umgehen damit automatisch das TPM-Modul. Auf Geräten, auf denen bereits ein Zertifikat existiert, hat diese Option hingegen keine Wirkung.
34 +)))
35 +
33 33