Wiki source code of RangeeOS - TPM Herausforderungen und Lösungen
Version 14.1 by Tobias Wintrich on 2025/12/12 08:07
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | Ab RangeeOS 13 verwendet das System zur Verschlüsselung sensibler Daten ein zertifikatsbasiertes, TPM-gestütztes Verfahren. Beim ersten Start prüft das OS automatisch, ob ein funktionsfähiges TPM-Modul vorhanden ist. Ist dies nicht der Fall, wird ein reguläres Zertifikat ohne TPM-Unterstützung zur Datenverschlüsselung genutzt. | ||
| 2 | |||
| 3 | Die Verwendung eines TPM-Moduls schützt Ihre Daten vor dem Auslesen über fremde Hardware, kann jedoch in bestimmten Szenarien zu Problemen führen. Nachfolgend finden Sie mögliche Herausforderungen sowie entsprechende Lösungen. | ||
| 4 | |||
| 5 | {{toc/}} | ||
| 6 | |||
| 7 | = Herausforderungen = | ||
| 8 | |||
| 9 | == RangeeOS auf USB-Stick == | ||
| 10 | |||
| 11 | Wenn RangeeOS von einem USB-Stick gestartet und auf unterschiedlicher Hardware betrieben werden soll, muss die Nutzung eines [[Verschlüsselungszertifikats ohne TPM explizit erzwungen werden>>doc:||anchor="force"]]. Diese Option muss pro USB-Stick einmalig ausgeführt werden. | ||
| 12 | |||
| 13 | == TPM-Schlüssel werden „vergessen“ == | ||
| 14 | |||
| 15 | Insbesondere bei älteren Geräten kommt es vor, dass ein gültiges TPM-Modul gemeldet wird und die Erstellung eines TPM-gestützten Zertifikats zunächst erfolgreich ist, dieses aber anschließend nicht mehr zur Entschlüsselung genutzt werden kann. In diesem Fall muss die Nutzung des TPM-Moduls für die [[Verschlüsselung manuell deaktiviert>>doc:||anchor="loesung"]] werden. | ||
| 16 | |||
| 17 | = Lösungen**{{id name="loesung"/}}** = | ||
| 18 | |||
| 19 | Bei Problemen mit dem TPM-Modul muss dessen Nutzung deaktiviert werden. Die Optionen zur Steuerung der TPM-Nutzung erfordern die Aktivierung des [[Expertenmodus>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.M Expertenmodus.WebHome]] der Kommbox. | ||
| 20 | |||
| 21 | [[image:1765521601853-591.png]] | ||
| 22 | |||
| 23 | == Deaktivieren bzw. „Verstecken“ des TPM-Moduls im Geräte-BIOS == | ||
| 24 | |||
| 25 | Wird RangeeOS anschließend neu installiert, erzeugt das System automatisch ein Zertifikat ohne TPM-Unterstützung. Ist das OS bereits installiert, muss das Zertifikat einmalig über [[System -~> Bootloader -~> Gerätezertifikat neu erstellen>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] neu generiert werden. Die Option *TPM für Gerätezertifikat aktivieren* muss dabei nicht zwingend deaktiviert werden – sobald das Gerät kein TPM-Modul mehr erkennt, greift automatisch der Fallback auf ein nicht TPM-gestütztes Zertifikat. | ||
| 26 | |||
| 27 | == Erzwingen der Zertifikatserstellung ohne TPM{{id name="force"/}} == | ||
| 28 | |||
| 29 | Alternativ kann das OS angewiesen werden, das TPM-Modul grundsätzlich nicht zu verwenden. **Deaktivieren** Sie hierzu die Option [[System -~> Bootloader -~> TPM für Gerätezertifikat aktivieren>>doc:Handbuecher.Rangee Thin Client Admin Guide 13\.00.Kapitel 3 - Administration des Clients.2\.C System.2\.C\.J Bootloader.WebHome]] und führen Sie anschließend **Gerätezertifikat neu erstellen** aus. | ||
| 30 | |||
| 31 | (% class="box infomessage" %) | ||
| 32 | ((( | ||
| 33 | Die Option *TPM für Gerätezertifikat aktivieren* kann auch über eine TCMS-Konfiguration verteilt werden. Sie beeinflusst jedoch ausschließlich die Neuerstellung von Verschlüsselungszertifikaten. Geräte, die von älteren Versionen auf RangeeOS 13 aktualisiert werden, umgehen damit automatisch das TPM-Modul. Auf Geräten, auf denen bereits ein Zertifikat existiert, hat diese Option hingegen keine Wirkung. | ||
| 34 | ))) | ||
| 35 | |||
| 36 |