Как я могу создать "Виртуальную смарт-карту" на своем доверенном платформенном модуле, не подключая свой компьютер Windows к домену?
Я хочу хранить сертификаты клиента OpenVPN на наших ноутбуках, защищенных моим доверенным платформенным модулем, чтобы сертификат нельзя было украсть/извлечь с ноутбука даже с правами администратора.
Microsoft предлагает "Виртуальные смарт-карты ", которые используют доверенный платформенный модуль. Я должен иметь доступ к ним через PKCS11 из клиента OpenVPN.config. Существуют Библиотеки/адаптеры CAPI для PKCS11.
Я могу создать виртуальный считыватель смарт-карт, используя это команда:
tpmvscmgr.exe create /name OpenVPN1 /pin prompt /pinpolicy minlen 4 maxlen 8 /adminkey random /generate
Это работает. Однако теперь мне нужен способ фактически сгенерировать открытый/закрытый ключ и запрос на подпись сертификата, который я могу подписать в своем центре сертификации openssl.
Однако Microsoft в своем учебнике хочет, чтобы вы подключили компьютер к домену с контроллером домена. И создайте "шаблон сертификата" на контроллере домена. Я не хочу/не нуждаюсь в этом. Я не использую центр сертификации Microsoft. У меня есть отдельный центр сертификации openssl.
Есть ли способ создать пара открытых/закрытых ключей без подключения ноутбука к домену?