Skip to Content
Version 13.1 by Tobias Wintrich on 2025/12/12 08:02
Hide last authors
Tobias Wintrich 2.1 1 Ab RangeeOS 13 nutzt das System zur Verschlüsselung schützenswerter Daten eine Zertifikatsbasierte, TPM gestützte Verschlüsselung. Das OS erkennt beim ersten Start ob ein nutzbares TPM-Moduls vorhanden ist. Ist dies nicht der Fall wird ein "normales" Zertifikat für die Verschlüsselung der Daten verwendet.
2
3 Die Nutzung des TPM-Moduls schützt ihre Daten vor dem auslesen über fremde Hardware, kann jedoch auch zu Problemen führen. Im folgenden sind Mögliche Probleme und deren Lösungen beschrieben.
4
Tobias Wintrich 3.1 5 {{toc/}}
6
Tobias Wintrich 2.1 7 = Herausforderungen =
8
9 == RangeeOS auf USB-Stick ==
10
Tobias Wintrich 12.1 11 Sobald das RangeeOS von einem USB-Stick gebootet werden soll und auf unterschiedlicher Hardware nutzbar sein muss, muss die Nutzung eines [[Verschlüsselungszertifikat ohne TPM vom OS erzwungen werden>>doc:||anchor="force"]]. Die Option muss je Stick einmalig ausgeführt werden.
Tobias Wintrich 2.1 12
13 == TPM Schlüssel werden "vergessen" ==
14
Tobias Wintrich 11.1 15 Leider kommt es gerade bei älterer Hardware häufiger vor, dass diese dem OS ein gültiges TPM-Modul melden, die Erstellung des entsprechenden Zertifikats auch funktioniert, dieses aber anschließend nicht mehr zur Entschlüsselung Nutzen können. In diesem Fall muss die Nutzung des TPM-Moduls für die [[Verschlüsselung explizit deaktiviert>>doc:||anchor="loesung"]] werden.
Tobias Wintrich 2.1 16
Tobias Wintrich 13.1 17 = Lösung**{{id name="loesung"/}}** =
Tobias Wintrich 2.1 18
19 Bei Problemen mit dem TPM-Modul muss dessen Nutzung unterbunden werden. Hierzu gibt es grundsätzlich 2 Optionen:
20
Tobias Wintrich 5.1 21 * **Deaktivieren bzw. "verstecken" Sie das Modul über das Gerätebios **
Tobias Wintrich 2.1 22 Wird das RangeeOS neu installiert, wird anschließend automatisch ein nicht TPM-gestütztes Zertifikat für die Verschlüsselung genutzt. Ist es bereits installiert, muss das Zertifikat einmalig über **S[[ystem >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]]**[[-~> **Bootloader **-~> >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]]**[[Gerätezertifikat neu erstellen>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] **neu generiert werden. Die Option **TPM für Gerätezertifikat aktivieren **muss hier nicht zwangsweise gesetzt werden, da wenn das Gerät kein TPM Modul mehr im System findet, der automatische Fallback greift
Tobias Wintrich 11.1 23 * **Zertifikate ohne TPM Nutzung erzwingen {{id name="force"/}}**
Tobias Wintrich 2.1 24 Neben der Option das Modul vor dem OS zu verstecken, können Sie ebenfalls das OS anweisen das Modul nicht zu Nutzen. **Deaktivieren **Sie hierzu die Option [[**System **-~> **Bootloader **-~> **TPM für Gerätezertifikat aktivieren**>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] und führen Sie anschließend** Gerätezertifikat neu erstellen **aus**.**(% class="box infomessage" %)
25 (((
Tobias Wintrich 13.1 26 Sie können die Option **TPM für Gerätezertifikat aktivieren **auch als Teil einer TCMS Konfiguration verteilen. Die Option beeinflusst allerdings nur das neue Erstellen von Verschlüsselungszertifikaten. Geräte welche von vorherigen auf eine RangeeOS 13 Version wechseln, würden somit automatisch das TPM-Modul umgehen. Auf Geräten welche bereits ein Zertifikat generiert haben, hat diese Option keinerlei Einfluss.
Tobias Wintrich 2.1 27 )))
28
29 Die Optionen zur Steuerung der TPM Nutzung erfordern die Aktivierung des [[Expertenmodus >>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.M Expertenmodus.WebHome]]der Kommbox.
30
31 [[image:1765521601853-591.png]]
32
33