Zertifikate für SCEP

Folgende Zertifikate werden vom SCEP-Agenten standardmäßig in /setup/cacerts/scep abgelegt.

client.pem	Client-Zertifikat
client.key	Privater Schlüssel des Client-Zertifikats	2048 oder40961 ab eLux RP 6 2204 RSA-Schlüssel kann im TPM 2.0-Modul gespeichert werden
serverca.pem	Server CA-Zertifikat
serverca.key	Server CA-Schlüssel	notwendig für Verlängerung der Zertifikate
serverca.sig	Server CA Signatur	notwendig für Verlängerung der Zertifikate
serverra.pem	RADIUS Server-Zertifikat

Clients mit TPM 2.0

Die entsprechenden Authentifizierungsverfahren über WPA-Supplicant für kabelgebundene Ethernet-Verbindungen und über IEEE 802.1x für WLAN-Komponenten berücksichtigen beide Speichermöglichkeiten für den privaten SCEP-Schlüssel – das Dateisystem und das TPM 2.0-Modul.

Client-Zertifikate werden immer im Dateisystem gespeichert.Das Rollout-Verfahren, mit dem die Clients die Client-Zertifikate initial erhalten, wird ausschließlich über kabelgebundene Ethernet-Verbindungen durchgeführt.Vorhandene Zertifikate können sowohl über kabelgebundene Ethernet-Verbindungen als auch über WLAN erneuert werden.

Standardmäßig wird auch der private Schlüssel des SCEP Client-Zertifikats im Dateisystem gespeichert, und zwar unter /setup/cacerts/scep bzw. in dem in der scep.ini definierten Verzeichnis.Bei einem Update von eLux auf eine Version mit TPM 2.0-Unterstützung bleiben vorhandene private Schlüssel für SCEP Client-Zertifikate im Dateisystem gespeichert.

Privater Schlüssel im TPM 2.0-Modul

• Um das TPM 2.0-Modul für den privaten Schlüssel zu nutzen, verwenden Sie folgenden Eintrag:

  Datei	scep.ini
  Abschnitt	Certificate
  Eintrag	UseTPM2
  Wert	true	Standardmäßig steht der Wert auf false.

Dieser Parameter sorgt dafür, dass der private Schlüssel für jedes TPM 2.0-Gerät im TPM-Modul erzeugt wird.2 ab eLux RP 6 2101 Er wird nur dort gespeichert und kann weder angezeigt noch exportiert werden.Der Schlüssel verlässt niemals das TPM-Modul des Gerätes.

Bei einer Verlängerung des Zertifikats wird der private Schlüssel wiederverwendet.

Der SCEP Agent erstellt via openssl eine Zertifikatanforderung (CSR) mit dem öffentlichen Schlüssel des TPM-Moduls.Wenn eine Verbindung zu einem 802.1X-gesichertem Port aufgebaut wird, wird geprüft ob ein gültiges Zertifikat vorliegt.Das Zertifikat muss mit dem privaten Schlüssel aus dem TPM-Chip signiert sein.Wenn das Zertifikat nicht vorhanden oder ungültig ist, wird die Verbindung abgelehnt.

Die Datei client.key bleibt im Dateisystem erhalten, enthält aber nur noch die Information zum öffentlichen Schlüssel.Durch den beibehaltenen Dateinamen ist gewährleistet, dass auch Geräte ohne TPM das gleiche Zertifikat nutzen können.

Um den Schlüssel aus dem TPM 2.0-Modul zu löschen, löschen Sie das TPM im UEFI/BIOS.Wir empfehlen, vorher Zertifikate zurückzuziehen, die noch Gültigkeit besitzen.