我们家里有一系列的 Windows 10 计算机 - 一些没有 TPM 芯片,一些有 TPM 1.2,一些有 TPM 2.0。
我想要配置证书模板来可选地如果客户端具备功能,则执行 TPM 密钥证明,以便支持 TPM 密钥证明的客户端能够执行此操作,同时我们逐步淘汰不具备功能的设备。
AD CS 公开了证书模板选项“如果客户端有能力,则需要”,这是记录作为:
允许不支持 TPM 密钥认证的设备上的用户继续注册该证书。可以执行认证的用户将通过特殊的颁发策略 OID 进行区分。某些设备可能无法执行认证,因为旧的 TPM 不支持密钥认证,或者该设备不 有 TPM。
证书模板配置如下:
兼容性设置
- 证书颁发机构:Windows Server 2016
- 证书接收者:Windows 8.1/Windows Server 2012 R2
请求处理
- 目的:签名和加密
- 是否允许导出私钥:否
- 存档主题的加密私钥:否
加密
- 提供商类别:密钥存储提供商
- 算法名称:RSA
- 最小密钥大小:2048
- 提供商:
- Microsoft 平台加密提供程序
- Microsoft 软件密钥存储提供商
- 请求哈希:SHA1
密钥认证
- 如果客户有能力,则需要
- 根据以下内容执行证明:
- 用户凭据
- 仅执行证明(不包括颁发政策)
在没有 TPM 芯片的计算机上注册此证书模板时,请求失败并出现错误:
注册证书时发生错误。无法创建证书请求。
网址:ad1.corp.contoso.com\Contoso Root CA
错误:一个或多个参数不正确。0x800700a0(WIN32/HTTP:160 ERROR_BAD_ARGUMENTS)
如果密钥证明已关闭(必需,如果客户端能够 >没有任何),则注册成功。PKI 在其他方面是健康的(CDP/AIA 可访问、CRL 有效等),并且颁发策略颁发没有障碍(例如,可以手动将“认证密钥证书已验证”颁发到证书中)。
CA 的调试数据可在此处获得:https://pastebin.com/Tu5QiJeY。
客户端的调试数据可在此处获得:https://pastebin.com/YTErH9bh