Skip to Content
Last modified by Tobias Wintrich on 2025/12/22 09:41
From version 15.1
edited by Tobias Wintrich
on 2025/12/12 08:09
Change comment: There is no comment for this version
To version 1.1
edited by Tobias Wintrich
on 2025/12/12 07:39
Change comment: Neuen Anhang 1765521601853-591.png hochladen

Summary

Details

Page properties
Title
... ... @@ -1,1 +1,0 @@
1 -RangeeOS - TPM Herausforderungen und Lösungen
Parent
... ... @@ -1,1 +1,0 @@
1 -HowTos.WebHome
Content
... ... @@ -1,36 +1,0 @@
1 -Ab RangeeOS 13 verwendet das System zur Verschlüsselung sensibler Daten ein zertifikatsbasiertes, TPM-gestütztes Verfahren. Beim ersten Start prüft das OS automatisch, ob ein funktionsfähiges TPM-Modul vorhanden ist. Ist dies nicht der Fall, wird ein reguläres Zertifikat ohne TPM-Unterstützung zur Datenverschlüsselung genutzt.
2 -
3 -Die Verwendung eines TPM-Moduls schützt Ihre Daten vor dem Auslesen über fremde Hardware, kann jedoch in bestimmten Szenarien zu Problemen führen. Nachfolgend finden Sie mögliche Herausforderungen sowie entsprechende Lösungen.
4 -
5 -{{toc/}}
6 -
7 -= Herausforderungen =
8 -
9 -== RangeeOS auf USB-Stick ==
10 -
11 -Wenn RangeeOS von einem USB-Stick gestartet und auf unterschiedlicher Hardware betrieben werden soll, muss die Nutzung eines [[Verschlüsselungszertifikats ohne TPM explizit erzwungen werden>>doc:||anchor="force"]]. Diese Option muss pro USB-Stick einmalig ausgeführt werden.
12 -
13 -== TPM-Schlüssel werden „vergessen“ ==
14 -
15 -Insbesondere bei älteren Geräten kommt es vor, dass ein gültiges TPM-Modul gemeldet wird und die Erstellung eines TPM-gestützten Zertifikats zunächst erfolgreich ist, dieses aber anschließend nicht mehr zur Entschlüsselung genutzt werden kann. In diesem Fall muss die Nutzung des TPM-Moduls für die [[Verschlüsselung manuell deaktiviert>>doc:||anchor="loesung"]] werden.
16 -
17 -= Lösungen**{{id name="loesung"/}}** =
18 -
19 -Bei Problemen mit dem TPM-Modul muss dessen Nutzung deaktiviert werden. Die Optionen zur Steuerung der TPM-Nutzung erfordern die Aktivierung des [[Expertenmodus>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.M Expertenmodus.WebHome]] der Kommbox.
20 -
21 -[[image:1765521601853-591.png]]
22 -
23 -== Deaktivieren bzw. „Verstecken“ des TPM-Moduls im Geräte-BIOS ==
24 -
25 -Wird RangeeOS anschließend neu installiert, erzeugt das System automatisch ein Zertifikat ohne TPM-Unterstützung. Ist das OS bereits installiert, muss das Zertifikat einmalig über **System **-> [[**Bootloader **>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]]-> **Gerätezertifikat neu erstellen** neu generiert werden. Die Option *TPM für Gerätezertifikat aktivieren* muss dabei nicht zwingend deaktiviert werden – sobald das Gerät kein TPM-Modul mehr erkennt, greift automatisch der Fallback auf ein nicht TPM-gestütztes Zertifikat.
26 -
27 -== Erzwingen der Zertifikatserstellung ohne TPM{{id name="force"/}} ==
28 -
29 -Alternativ kann das OS angewiesen werden, das TPM-Modul grundsätzlich nicht zu verwenden. **Deaktivieren** Sie hierzu die Option **System **-> [[**Bootloader **>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]]-> **TPM für Gerätezertifikat aktivieren** und führen Sie anschließend **Gerätezertifikat neu erstellen** aus.
30 -
31 -(% class="box infomessage" %)
32 -(((
33 -Die Option **TPM für Gerätezertifikat aktivieren **kann auch über eine TCMS-Konfiguration verteilt werden. Sie beeinflusst jedoch ausschließlich die Neuerstellung von Verschlüsselungszertifikaten. Geräte, die von älteren Versionen auf RangeeOS 13 aktualisiert werden, umgehen damit automatisch das TPM-Modul. Auf Geräten, auf denen bereits ein Zertifikat existiert, hat diese Option hingegen keine Wirkung.
34 -)))
35 -
36 -