У нас есть ряд компьютеров с Windows 10 - некоторые без микросхемы TPM, некоторые с TPM 1.2, а некоторые с TPM 2.0.
Я хочу настроить шаблон сертификата на необязательно выполнить аттестацию ключа TPM, если клиент поддерживает эту возможность, чтобы клиенты, поддерживающие аттестацию ключа TPM, могли делать это, пока мы постепенно выводим из строя неподдерживаемые устройства.
AD CS предоставляет параметр шаблона сертификата «Требуется, если клиент поддерживает», который задокументированный так как:
Позволяет пользователям на устройстве, которое не поддерживает аттестацию ключа TPM, продолжить регистрацию для этого сертификата. Пользователи, которые могут выполнять аттестацию, будут отмечены специальным OID политики выдачи. Некоторые устройства могут не выполнять аттестацию из-за старого TPM, который не поддерживает аттестацию ключей, или устройство не иметь TPM вообще.
Шаблон сертификата настроен следующим образом:
Настройки совместимости
Обработка запросов
Криптография
Ключевое свидетельство
При регистрации для этого шаблона сертификата на компьютере без микросхемы TPM запрос завершается ошибкой:
Произошла ошибка при подаче заявки на сертификат. Запрос сертификата не может быть создан.
URL: ad1.corp.contoso.com \ Корневой центр сертификации Contoso
Ошибка: один или несколько аргументов неверны. 0x800700a0 (WIN32 / HTTP: 160 ERROR_BAD_ARGUMENTS)
Если аттестация ключей отключена (обязательно, если клиент поддерживает> Никто), регистрация успешна. В остальном PKI исправен (доступен CDP / AIA, действительны списки отзыва сертификатов и т. Д.), И отсутствует блокировка при выдаче политики выдачи (например, «Подтвержденный сертификат ключа подтверждения» может быть вручную введен в сертификат).
Отладочные данные для центра сертификации доступны здесь: https://pastebin.com/Tu5QiJeY.
Отладочные данные для клиента доступны здесь: https://pastebin.com/YTErH9bh