Warum wird der TPM Nachweis als „nicht unterstützt“ angezeigt?

[Kein_Name_1]

1. Nenne uns bitte deine aktuelle Hardware:

• Prozessor (CPU): AMD Ryzen 5 5600X
• Arbeitsspeicher (RAM): Kingston Fury Beast KF432C16BB1K2/32
• Mainboard: MSI MPG B550 GAMING PLUS (BIOS Version: 7C56v1I)

Alle Komponenten wurden vor ein paar Monaten neu gekauft.

2. Beschreibe dein Problem. Je genauer und besser du dein Problem beschreibst, desto besser kann dir geholfen werden (zusätzliche Bilder könnten z. B. hilfreich sein):

Ich habe durch Zufall festgestellt, dass in der Windows Sicherheit unter Gerätesicherheit - Details zum Sicherheitschip bei Status Nachweis „Nicht unterstützt“ angezeigt wird. Gleichzeitig steht jedoch bei Speicher „bereit“. Auch die Spezifikation für den Sicherheitschip werden alle korrekt angezeigt. Klicke ich auf die Problembehandlung für Sicherheitschip wird in einer Fehlermeldung behauptet:
Der Integritätsnachweis für Geräte wird auf diesem Gerät nicht unterstützt. Wenn sie ihr TPM löschen, kann er möglicherweise aktiviert werden.

Obwohl eine Fehlermeldung vorliegt, wird der Sicherheitschip in der Windows Sicherheit unter Gerätesicherheit mit einem grünen Haken versehen. Unter Gerätesicherheit wird ganz unten zudem auch angezeigt, dass mein Gerät die Anforderungen für erweiterte Hardwaresicherheit erfüllt.

Ich habe auch schon tpm.msc ausgeführt. Hier sieht auch alles gut aus. Der TPM Status ist einsatzbereit und auch die Spezifikationen werden angezeigt.

Auch habe ich schon Get-Tpm in PowerShell ausgeführt. Mit folgendem Ergebnis:

TpmPresent: True
TpmReady: True
TpmEnabled: True
TpmActivated: True
…

Im Gerätemanager werden unter Sicherheitsgeräte sowohl das TPM als auch das AMD PSP angezeigt. Der Gerätestatus wird hier auch mit Gerät funktioniert einwandfrei beschrieben.

Hingegen ist: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TPM\WMI\Endorsement\EKCertStore\Certificates wiederum komplett leer.

TPM, Secure Boot und UEFI sind im BIOS aktiv. Das war auch standardmäßig immer alles so eingestellt.

Als ich den PC vor paar Monaten zusammengekauft gekauft habe, habe ich auch gleich das neueste BIOS aufgespielt. Wie der Status für den Nachweis davor ausgesehen hat weiß ich leider nicht.

3. Welche Schritte hast du bereits unternommen/versucht, um das Problem zu lösen und was hat es gebracht?

Ich habe mittlerweile schon folgende Dinge mittlerweile unternommen:

• TPM mehrmals über die Windows Sicherheit gelöscht
• TPM mehrmals über tpm.msc gelöscht
• TPM mehrmals im BIOS gelöscht
• TPM im BIOS deaktiviert und wieder aktiviert
• CMOS mehrfach gelöscht
• Windows 2x neu installiert auf verschiedenen Test-SSD
• Neueste AMD Chipsatztreibrr installiert
• Das hier: https://community.amd.com/t5/pc-processors/ryzen-7-5800x3d-tpm-attestation-not-supported/td-p/572089 im letzten Kommentar vorgeschlagene Vorgehen mehrmals wiederholt (Secure Boot deaktivieren - TPM im BIOS löschen - TPM deaktivieren - TPM aktivieren - Secure Boot aktivieren)

Bei der ersten Neunstallation von Windows habe ich anstatt wieder 24H2 zu installieren 23H2 installiert. Dafür habe ich eine mit dem Media Creation Tool erstellte DVD verwendet. Habe direkt nach der Installation noch bevor ich den PC mit dem Internet verbunden habe in der Windows Sicherheit nachgesehen und auch da stand bereits schon, bevor das erste Update installiert wurde, Nachweis „nicht unterstützt“.

Obwohl für Windows 11 TPM ja eine Grundvoraussetzung ist hatte ich keinerlei Probleme bei der Installation.

Vor der zweiten Neuinstallation habe ich das wie oben bereits erwähnte Vorgehen aus dem AMD Forum angewendet. Dieses Mal habe ich einen USB Stick, ebenfalls mit dem Media Creation Tool erstellt, mit 24H2 zur Installation verwendet. Direkt nach der Installation bevor ich den Computer mit dem Internet verbunden hatte und das erste Update geladen wurde, wechselte der Status des Nachweises nun immer zwischen „nicht unterstützt“ und „nicht bereit“ hin und her. Hätte gesagt er wäre sogar öfters auf „nicht bereit“ gestanden als auf „nicht unterstützt“. Nach der Installation der Windows Updates und des aktuellsten Chipsatztreibers stand der Nachweis jedoch durchgehend wieder nur noch auf „nicht unterstützt“. Der Speicher wird aber immer als „bereit“ angezeigt.

Während der Zeit der Chipsatztreiberinstallation stand in der Windows Ergebnisanzeige zudem folgender Fehler:

Quelle: TPM

Beim Gerätetreiber für das Trusted Platform Module (TPM) ist ein nicht behebbarer Fehler in der TPM-Hardware aufgetreten, der die Verwendung der TPM-Dienste (z. B. Datenverschlüsselung) verhindert. Wenden Sie sich an den Computerhersteller, um weitere Hilfe zu erhalten.

Weitere Fehler die noch in der Ergebnisanzeige bezüglich TPM gefunden haben abseits der Chipsatztreiberinstallation waren:

Quelle: Kernel Boot

Bei der Prüfung der Richtlinie zur Aktivierung der virtualisierungsbasierten Sicherheit in Phase 6 ist ein Fehler mit dem Status TPM 2.0: Das TPM ist nicht im richtigen Modus für ein Upgrade. aufgetreten.


Quelle: TPM-WMI

Beim Update für den sicheren Start konnte eine Variable für den sicheren Start nicht aktualisiert werden. Fehler: Falscher Parameter. Weitere Informationen finden Sie unter microsoft.com


Langsam weiß ich nicht mehr was ich tun soll um den Nachweisstatus auf „bereit“ zu bekommen.

Ich möchte mich schon einmal für jegliche kommende Hilfe bedanken.

 

[Babo09]

Mir ist ja aufgefallen, das einige Zertifikate nach der Neuinstallation bei mir auch schon abgelaufen sind in der mmc-Konsole (zwischenzertifizierungsstelle).
Nun läuft aber auch, das Microsoft-Zertifikat 2030 ab (Zufall 2030, Agenda2030).
Und das Problem ist;

Das ist doch ein schlechter Scherz, das man sich irgendwo anmelden muss, ich bin kein Hardware-Entwickler.


Nun ist beschriebene und wichtige TPM-Endorsement Zertifikat, wohl verkettet und zwar mit dem Zertifikat von MS, welches 2030 abläuft.

Ich kann es aber nicht verschieben nach vertrauenswürdig, mit der MMC.exe.
Exportieren, aber ich hab auch keine Lust, da ein Fehler zu machen und dann meinen TPM Nachweiß wieder zu verlieren.
Wie macht man das, lese grad schon bei MS.

Veraltete Softwareherausgeberzertifikate, kommerzielle Freigabezertifikate und kommerzielle Testzertifikate​

https://learn.microsoft.com/de-de/w...tificates-and-commercial-release-certificates

Program Requirements - Microsoft Trusted Root Program​

https://learn.microsoft.com/en-us/security/trusted-root/program-requirements

Da Windows 10 ja nicht mehr unterstützt wird 2030, hat er ab da keine offiziellen Zertifikate mehr - großes Kino, ich habe mein Windows 10 bezahlt.

Angenehmen Samstag.
Wer keine Probleme und Zeit hat, macht sich welche ^^

Ergänzung (31. Mai 2025)

Die Zertifikate lassen sich mit rechtsklick nach "vertrauenswürdige Herausgeber" kopieren, ändert aber nichts, dass es 2030 abläuft.

Kopierte Zertifikat, liegt dann als Kopie vor und das Original, verbleibt dort wo es war.
Und warum ist es nicht vertrauenswürdig?
Das ist immerhin, Standart so eingestellt von Microsoft nach einer Neuinstallation mit einer 22H2.
Windows scheint ganz schön zugemüllt zu werden und MS, interessiert das nicht, sondern müllt weiter zu.

Völlig Irre, da liegen Zertifikate in "Vertrauenswürdig" die seit 1999 abgelaufen sind, aber was machen?
Löschen?

 

[Babo09]

https://www.deskmodder.de/blog/2020/12/23/abgelaufene-windows-zertifikate-darf-man-nicht-loeschen/

 

[Waldelfe]

Anhang anzeigen 1622729

Die letzte BIOS-Version ist doch sehr aktuell.

Ja aber, die TPM-Herstellerversion ist aber trotz allem noch 3.92.0.5 und nicht 3.92.2.5.
Also nein, im grunde genommen ist die BIOS Version nicht wirklich aktuell, auch wenn diese erst im mai heraus kam.

 

[Babo09]

Powershell als Admin - Befehl; gpupdate /force

installieren Sie die Stamm- und Zertifizierungsstellenzertifikate automatisch über Gruppenrichtlinien​

https://learn.microsoft.com/de-de/s...erations-manager?view=sc-om-2025&tabs=Standal

https://learn.microsoft.com/de-de/w...ctive-directory-certificate-services-overview

 

[Waldelfe]

Also wie man es dreht und wendet:
Entweder Windows Defender Bug, was ich eher glaube. da Windows Defener öfters auch abstürzt oder die Firmware bezüglich TPM ist Fehlerhaft.

Ergänzung (31. Mai 2025)

Ich habe nebenbei das Problem auch mal AMD gemeldet jetzt, unabhängig davon, ob es was bringt oder nicht.

 

[Babo09]

https://github.com/asheroto/UpdateRootCertificates

1. Create a Group Policy or change an existing Group Policy in the Local Group Policy Editor.
2. In the Local Group Policy Editor, double-click Policies under the Computer Configuration node.
3. Double-click Windows Settings, double-click Security Settings, and then double-click Public Key Policies.
4. In the details pane, double-click Certificate Path Validation Settings.
5. Click the Network Retrieval tab, select Define these policy settings, and then clear the Automatically update certificates in the Microsoft Root Certificate Program (recommended) check box.
6. Click OK, and then close the Local Group Policy Editor.

After you make this change, automatic root updates are disabled on those systems to which the policy is applied. We recommend that the policy be applied only to those systems that do not have Internet access or that are prevented from accessing Windows Update because of firewall rules.

If automatic root updates are disabled, Administrators must manually manage root certificates that are trusted by Windows. Trusted root certificates can be distributed to computers that are running Windows by using Group Policy. For more information about how to manage the root certificates that are trusted by Windows, visit the following Microsoft website:

http://technet.microsoft.com/en-us/library/cc754841.aspx


Oder, diese Methode;
https://woshub.com/updating-trusted-root-certificates-in-windows-10/#h2_3

Oder; https://github.com/stars/asheroto/lists/asher-tools

 

[mchawk777]

ChatGPT liefert dazu eine recht eindeutige Antwort:

Bedeutung von „Nachweis: nicht unterstützt“​

Wenn hier „nicht unterstützt“ steht, bedeutet das:

• Der verwendete TPM-Chip (oder Firmware-TPM) unterstützt keine oder nicht vollständig die Attestation-Funktionalität, die für Remote-Vertrauensprüfungen nötig wäre.
• Für den normalen Heimanwender ist das kein Problem, denn diese Funktion wird vor allem in Unternehmensnetzwerken oder bei spezieller Sicherheitssoftware verwendet.
• Dein Gerät ist dennoch sicher – diese Anzeige hat nichts mit der generellen Funktionsfähigkeit oder Sicherheit von TPM oder Windows 11 zu tun.

Mögliche Ursachen​

• Du nutzt ein Firmware-TPM (fTPM) z. B. von AMD oder Intel, das nur eingeschränkte Funktionen bietet.
• Der Hersteller des Mainboards oder TPM-Moduls hat keine vollständige Unterstützung der Attestation-Funktion implementiert.
• Es fehlen ggf. Treiber oder Firmware-Updates, wobei das für Heimanwender i. d. R. keine Auswirkungen hat.

 

[Babo09]

ChatGPT, hat mir ein wenig beim "coden" geholfen - dafür lade, die TrustedTPM.cab von MS>>> https://go.microsoft.com/fwlink/?linkid=2097925
Die in System32 packen - nicht entpacken, Powershell als Admin öffnen, Befehl in Powershell kopieren>>>
Get-AuthenticodeSignature .\TrustedTpm.cab

Jetzt einen Ordner erstellen, in System32 "Kaffee" oder so und die tpm.cab, reinziehen.
Der folgende Befehl geht nicht, sollte auch nicht ausgeführt werden, da die tpm.cab, zuviele Dateien enthält>>>>>
PS C:\WINDOWS\system32> mkdir .\TrustedTPM
expand.exe -F:* "C:\Windows\System32\TrustedTpm.cab". \TrustedTPM

KORREKTUR-Befehl; bin kein Programmierer, Fehler noch "debuggt" mit ChatGPT>>>>

PS C:\WINDOWS\system32> mkdir .\TrustedTPM
expand.exe -F:* "C:\Windows\System32\Kaffee\TrustedTpm.cab". \TrustedTPM

Letzter Stufe;
Standardmäßig installiert das Konfigurationsskript Zertifikate für jeden TPM-Anbieter.
Wenn Sie nur Zertifikate für Ihren speziellen TPM-Anbieter importieren möchten, löschen Sie die Ordner für TPM-Anbieter, denen Ihr Unternehmen nicht vertraut.
Installieren Sie das vertrauenswürdige Zertifikatspaket, indem Sie das Setup.cmd in dem erweiterten Ordner ausführen, nach dem entpacken.

https://learn.microsoft.com/en-us/w...-fabric-install-trusted-tpm-root-certificates

Ergänzung (31. Mai 2025)

For HSP TPMs, AMD uses intermediate CA cert(Microsoft Pluton Policy CA A.cer) that is signed by a MSFT root CA(Microsoft Pluton Root CA 2021.cer) to sign
per device intermediate certs(Pluton-Factory-DEVICE-EK-ICA-DFID0001.cer and Pluton-Factory-FIPS-EK-ICA-DFID0001.cer) which are used to sign the EK certificates.

EkChains: ..\cab\AMD\RootCA\Microsoft Pluton Root CA 2021.cer,..\cab\AMD\IntermediateCA\Microsoft Pluton Policy CA A.cer,..\cab\AMD\IntermediateCA\Pluton-Factory-FIPS-EK-ICA-DFID0001.cer
..\cab\AMD\RootCA\Microsoft Pluton Root CA 2021.cer,..\cab\AMD\IntermediateCA\Microsoft Pluton Policy CA A.cer,..\cab\AMD\IntermediateCA\Pluton-Factory-DEVICE-EK-ICA-DFID0001.cer

Since these HSP devices calculate the AIK Alias using MSFT as the manufacturer, the AIK certificates also use the MSFT and NOT AMD in the calculated guid for the AIK alias.

Vlt. funktioniert es, habe mir die TrustedTPM.cab nochmal angeschaut, nachdem ich sie mit der Methode oben verifiziert hatte, dann normal entpackt.

Hinweiß; Microsoft Pluton (Pluton Zertifikate sind im TrustedTPM.cab Ordner) is currently available on devices with AMD Ryzen® 6000, 7000, 8000, Ryzen AI and Qualcomm Snapdragon® 8cx Gen 3 and Snapdragon X series processors. Microsoft Pluton can be enabled on devices with Pluton capable processors running Windows 11, version 22H2 and later. https://learn.microsoft.com/en-us/w...ty/pluton/microsoft-pluton-security-processor

Vlt., funktioniert der EndorsementKey od., das MS TPM Root Cert, welches ich als .zip angehängt habe.
Manche Zertifikate, sind von einander abhängig - Kette (EkChain).

OwnerAuth ist leer, warum?
Da hilft ChatGPT, ich habe zwar ein Windows & BiosPW gesetzt, aber kein Bitlocker an, deshalb leer.
To retrieve a TPM owner authorization (auth) value in Windows, you can use the Get-Tpm cmdlet in PowerShell. However, the TPM may be configured to have an empty owner auth, meaning it's not using a password.

https://learn.microsoft.com/en-us/p...&viewFallbackFrom=win10-ps&preserve-view=true

Solution: Update Windows Trusted Root Certificates
https://www.petenetlive.com/kb/article/0001831

Microsoft will only enable the following EKUs:
Server Authentication =1.3.6.1.5.5.7.3.1
Client Authentication =1.3.6.1.5.5.7.3.2
Secure E-mail EKU=1.3.6.1.5.5.7.3.4
Time stamping EKU=1.3.6.1.5.5.7.3.8
Document Signing EKU=1.3.6.1.4.1.311.10.3.12

https://www.ssl.com/de/faq/Was-ist-ein-x-509-Zertifikat?/
Aus administrativen und sicherheitsrelevanten Gründen werden X.509-Zertifikate normalerweise in kombiniert Ketten (CertChain bzw., EkChain) zur Validierung. Wie im Screenshot von mir gezeigt.


Für öffentlich vertrauenswürdige Websites stellt der Webserver seine eigenen bereit Endeinheit Zertifikat sowie alle für die Validierung erforderlichen Zwischenprodukte. Das Zertifikat der Stammzertifizierungsstelle mit seinem öffentlichen Schlüssel wird in das Betriebssystem und / oder die Browseranwendung des Endbenutzers aufgenommen, was zu einem vollständigen Zertifikat führt Kette des Vertrauens.

CAs müssen eine der folgenden Richtlinien-OIDs in ihrem Zertifikat mit Zertifikatsrichtlinienerweiterung deklarieren.
DV 2.23.140.1.2.1.
OV 2.23.140.1.2.2.
EV 2.23.140.1.1.
IV 2.23.140.1.2.3.
Nicht-EV-Code-Signierung 2.23.140.1.4.1.
S/MIME-Postfach validiert Legacy 2.23.140.1.5.1.1.
S/MIME-Postfach, validiert, Mehrzweck 2.23.140.1.5.1.2.
S/MIME-Postfach für gültig erklärt Strict 2.23.140.1.5.1.3.
S/MIME Organisation Validiert Legacy 2.23.140.1.5.2.1.
S/MIME Organisation Validiert Mehrzweck 2.23.140.1.5.2.2.
S/MIME Organisation Validiert Strict 2.23.140.1.5.2.3.
S/MIME Sponsor validiert Legacy 2.23.140.1.5.3.1.
S/MIME Sponsor validiert Mehrzweck 2.23.140.1.5.3.2.
S/MIME Sponsor validiert Strict 2.23.140.1.5.3.3.
S/MIME Individuell validiert Legacy 2.23.140.1.5.4.1.
S/MIME Individuell Validiert Mehrzweck 2.23.140.1.5.4.2.
S/MIME Individuell Validiert Strikt 2.23.140.1.5.4.3.


Ab August 2024 werden alle benutzerdefinierten EV SSL OIDs, die vom Trusted Root Program und unseren jeweiligen Tools verwaltet werden, entfernt und durch CA/B Forum-konforme EV SSL OID (2.23.140.1.1) ersetzt. Das Microsoft Edge-Team wird Prüfungen für EV SSL OID (2.23.140.1.1) im Browser implementieren, so dass andere EV SSL OIDs nicht mehr akzeptiert werden, um eine Anpassung an Edge zu erreichen und Inkompatibilitäten zu vermeiden.
CAs dürfen nicht mehr als 2 OIDs auf ihr Stammzertifikat anwenden.
Bei Endteilnehmerzertifikaten, die eine Basic Constraints-Erweiterung gemäß IETF RFC 5280 enthalten, muss das cA-Feld auf FALSE gesetzt sein und das pathLenConstraint-Feld darf nicht vorhanden sein.
Eine CA muss einen OCSP-Responder technisch so einschränken, dass die einzige erlaubte EKU die OCSP-Signierung ist.
Eine CA muss in der Lage sein, ein Zertifikat auf ein bestimmtes Datum zu widerrufen, wie von Microsoft gefordert.



Anforderungen für den Widerruf
CAs müssen über eine dokumentierte Widerrufsrichtlinie verfügen und die Möglichkeit haben, jedes von ihnen ausgestellte Zertifikat zu widerrufen.

Anforderungen an OCSP-Responder: a. Mindestgültigkeit von acht (8) Stunden; maximale Gültigkeit von sieben (7) Tagen; und b. Die nächste Aktualisierung muss mindestens acht (8) Stunden vor Ablauf des aktuellen Zeitraums verfügbar sein. Beträgt die Gültigkeit mehr als 16 Stunden, so muss die nächste Aktualisierung ½ der Gültigkeitsdauer verfügbar sein.

CRL-Empfehlungen, wenn OCSP nicht vorhanden ist: a. Sollte die Microsoft-spezifische Erweiterung 1.3.6.1.4.1.311.21.4 (Nächste CRL-Veröffentlichung) enthalten. b. Neue CRL sollte zum Zeitpunkt der nächsten CRL-Veröffentlichung verfügbar sein. c. Die maximale Größe der CRL-Datei (entweder vollständige CRL oder partitionierte CRL) sollte 10 MB nicht überschreiten.

Anforderungen an Code Signing Root-Zertifikate
Root-Zertifikate, die Code Signing unterstützen, können vom Programm 10 Jahre nach dem Datum der Verteilung eines Ersatz-Rollover-Root-Zertifikats oder früher, falls von der CA beantragt, aus dem Verkehr gezogen werden.
Stammzertifikate, die in der Verteilung verbleiben, um nur die Code Signing-Nutzung über ihre Algorithmus-Sicherheitslebensdauer hinaus zu unterstützen (z. B. RSA 1024 = 2014, RSA 2048 = 2030), können im Windows 10-Betriebssystem auf „Deaktivieren“ gesetzt werden.
Ab Februar 2024 wird Microsoft EV Code Signing-Zertifikate nicht mehr akzeptieren oder anerkennen, und CCADB wird keine EV Code Signing-Audits mehr akzeptieren. Ab August 2024 werden alle EV Code Signing OIDs aus den bestehenden Roots im Microsoft Trusted Root Program entfernt und alle Code Signing Zertifikate werden gleich behandelt.

OCSP/OiDs, damit kann man was anfangen - mehr davon?
Hier>>> https://learn.microsoft.com/de-de/d...es.x509enhancedkeyusageextension?view=net-9.0
Und hier; https://learn.microsoft.com/de-de/d...x509certificates.publickey.-ctor?view=net-9.0

Habe mir eine Zertifkat-Kette erstellt (schon mal ein Anfang, aber kein EndorsementKey).
Keine Ahnung ob das so klappt ab 2030, wenn meines abläuft, dafür auf die Seite gehen>>>>> https://aka.ms/RootCert
Dann folgendes;
Diese Servertools (RSAT) installiere ich nicht, nur Win10 Pro habe, kein Server.
Außerdem hatte ich diese Features, damals alle an, Sub-Linux, etc.
Wobei aktuell, der "Volumenaktivierungsdienst" schon dabei war, nach dem zurücksetzen von Win10 - ich den aber nicht nutze, weil ich kein Microsoftkonto habe ,)

Guten Abend

 

[Babo09]

Guten Morgen.

Das mit den Zertifikaten, muss wie folgt sein.
Endorsement Key ist vom TPM, dort wird er eingebrannt bei Herstellung (EUV-Lithographie), der gibt das EKCert aus.
EKCert, ein vom TPM-Hersteller ausgestelltes Zertifikat für EKPub.
Nicht alle TPMs haben EKCert.
EKPriv bezeichnet den privaten Schlüssel des EK.
EKpub verweist auf den öffentlichen Schlüssel/Zertifikat.

Kommunizieren tuen CPU/TPM & Windows, über die Zertifikate.

Diese Zertifikate, liegen in 2 Ordnern, denn manche verbinden sich mit dem Trusted-Dienst (online). Andere Zertifikate dürfen sich nicht online verbinden, da sie im EKPup bei der TPM liegen, und in der VM (Core-Isolation) laufen;
Verschieben Sie das Stammzertifikat in „Vertrauenswürdige Stammzertifizierungsstellen“.
Verschieben Sie Zwischenzertifikate in „Zwischenzertifizierungsstellen“.

Endorsement-Zertifikat: Das EKCert des Geräts muss durch vom Administrator verwaltete TPM-Zwischenzertifikate auf ein vom Administrator verwaltetes Stammzertifikat validiert werden. Wenn Sie diese Option wählen, müssen Sie EKCA- und EKRoot-Zertifikatspeicher auf der ausstellenden CA einrichten, wie im Abschnitt CA-Konfiguration in diesem Artikel beschrieben.

Endorsement Key: Der EKPub des Geräts muss in der vom PKI-Administrator verwalteten Liste erscheinen. Diese Option bietet das höchste Sicherheitsniveau, erfordert jedoch einen höheren Verwaltungsaufwand. Wenn Sie diese Option wählen, müssen Sie eine EKPub-Liste auf der ausstellenden CA einrichten, wie im Abschnitt CA-Konfiguration in diesem Artikel beschrieben.

https://learn.microsoft.com/en-us/w.../manage/component-updates/tpm-key-attestation


Angenehmen Sonntag

 

[Babo09]

Liste nachgereicht, damit kann man sich Zertifikate erstellen.
Suchen ist nur blöd...
Die .csv Datei mit Open Office z.b öffnen, dann Western Europe ASCII/US auswählen.
Wenn man eine Zahl in der .CSV anklickt, hat man komplett die Roh-Daten zu dem Zertifikat und kann diese kopieren, welches man erstellen will.


Bsp., dies sind aber "Rohdaten", die erst ins Zertifikat-Template eingefügt werden müssen, um ein Zertifikat zu erstellen.
Die OIDS, oder OCSP muss man auch noch einfügen, wenn man ein Zertifikat erstellt, die Daten sind ein Post davor, zu den OIDS.


AC Camerfirma, S.A.,"001o000000HshEJAAZ","Chambers of Commerce Root - 2008","001o000000HsfokAAB","AC Camerfirma, S.A.","Root Certificate","","Included","Not Included","Included","Removed","Apple: Included Google Chrome: Not Included Microsoft: Included Mozilla: Removed","","063E4AFAC491DFD332F3089B8542E94617D893D7FE944E10A7937EE29D9693C0","","2008.08.01","2038.07.31","+SSsD7K1+HnA+mCIG8TZTQKeFxk=","+SSsD7K1+HnA+mCIG8TZTQKeFxk=","false","","http://crl.camerfirma.com/chambersroot-2008.crl","","CSQA Certificazioni srl","false","https://www.csqa.it/getattachment/0..._Camerfirma_2024-Final-Version-(1)-signed.pdf","ETSI EN 319 411","2024.05.13","2023.03.02","2024.03.01","","","","","","https://www.csqa.it/getattachment/0..._Camerfirma_2024-Final-Version-(1)-signed.pdf","ETSI EN 319 411","2024.05.13","2023.03.02","2024.03.01","","","","","","https://www.csqa.it/getattachment/0..._Camerfirma_2024-Final-Version-(1)-signed.pdf","ETSI EN 319 411","2024.05.13","2023.03.02","2024.03.01","","","","","","","","","","","","https://www.camerfirma.com/practicas-de-certificacion-ac-camerfirma-cps-dpc/","false","","","false","https://rest.camerfirma.com/publico/DocumentosWeb/politicas/CPS_EN_v.3.3.7.pdf","2021.11.25","false","https://www.camerfirma.com/wp-content/uploads/2024/02/CPS_CP_CAMERFIRMA_EN_v1.5.0.pdf https://www.camerfirma.com/wp-content/uploads/2023/03/CPS_CP_CAMERFIRMA_2008-2016_EN_1.4.0.pdf https://rest.camerfirma.com/publico/DocumentosWeb/politicas/CPS_eidas_EN_1.2.19.pdf https://rest.camerfirma.com/publico/DocumentosWeb/politicas/CPS_EN_v.3.3.7.pdf https://rest.camerfirma.com/publico/DocumentosWeb/politicas/CPS_eidas_EN_1.2.16.pdf https://www.camerfirma.com/publico/DocumentosWeb/politicas/CPS_eidas_EN_1.2.12.pdf","2024.02.26","https://server3ok.camerfirma.com","https://server3.camerfirma.com","https://server3rv.camerfirma.com","True","False","True","True","Spain","Server Authentication Client Authentication Code Signing Secure Email Encrypting File System Time Stamping IP Security Tunnel Termination IP Security User",""

Pluton vs. TPM: Die Zukunft der Computersicherheit – Was Sie wissen müssen
Ja aber, Manifest V3 ist auch voll Mist, ich merk das jetzt schon mit jedem Update, beim Yandex Browser, es kommen auch schon "Warnzeichen" bei meinen Erweiterungen.
Bald vorbei mit Privacy und Sicherheit.

Zertifikatsdatei (komplette „Kette“)/ PEM erstellen
Mitunter ist es notwendig, eine komplette Zertifikatskette in einer Datei (PEM) zu erstellen. Der Aufbau ist wie folgt:
The Private Key – domain_name.key (EK)
The Primary Certificate – domain_name.crt (EKPriv)
The Intermediate Certificate – intermediate.crt (ECKert)
The Root Certificate – root.crt (EkPub)

 

[Waldelfe]

Moin, Babo09.
Ich weis nicht aktuell, was du da zur Zeit versuchst aber.
Die Situation ist definitv eindeutig, entweder Firmware bzw. Treiber fehlerhaft bezüglich TPM-Nachweis oder aber auch. Windows Defender hat ein Fehler, was ich eher vermute und glaube.

Und:
Wenn es angeblich eingeschränkt sein könnte, dann wäre es allgemein bekannt und man würde nicht fieberhaft nach einer Lösung suchen. Zudem ist das Problem auch ausschließlich nur bei AMD, bei Intel und diverse Separate TPM-Chips, die nicht defekt sind funktionieren ja.

Ich habe zwar ein separaten TPM-Chip aber, ist für mich keine dauerhafte Lösung.

 

[Waldelfe]

Eventuell ist dies hier hilfreich:
https://www.amd.com/en/resources/support-articles/faqs/pa-420.html

Problem ist bei mir nun gelöst

Problem tretet also bei der fTPM Version 3.92.2.5 zum Beispiel nicht mehr auf.

 

[EmanuelB]

@Waldelfe

Habe bei mir geschaut und habe die Version 3.92.0.5 und habe auch den Nachweis - nicht unterstützt

 

[Waldelfe]

Moin, die Lösung habe ich bereits geschrieben.

Den Link von AMD habe ich veröffentlicht, diesen bitte beachten und folgen!

 

[Telemnaro]

Ich habe vor kurzem eine Inplace-Upgrade von Windows 10 auf 11 vollzogen und es scheint soweit alles zu funktionieren, außer dass der TPM-Chip nicht richtig unterstützt wird

In der Anzeige steht eben "Nachweis: nicht unterstützt"

Mein Mainboard ist ein GIGABYTE X470 AORUS ULTRA GAMING und ich betreibe darauf einen 5800X3D.
Neueste Bios vom März 2025 ist drauf. Leider habe ich immer noch nur die Version 3.92.0.5 mit der es wohl nicht klappt. Muss ich jetzt wirklich warten bis GIGABYTE ein Bios-Update rausbringt?

Da TPM 2.0 eine Voraussetzung von Windows 11 ist, möchte ich eigentlich auch, dass es funktioniert und ich Kernisolierung aktivieren kann. Das Upgrade lief fehlerfrei, ohne weitere Eingriffe durch

Ansonsten werde ich mir wohl ein anderes Mainboard besorgen. PCIe 4.0 wäre für die Grafikkarte und die NVMe natürlich auch ganz nett. Würde aber ungern jetzt noch Geld dafür ausgeben, wenn es denn irgendwann auf meinem Mainboard auch TPM so läuft

 

[Waldelfe]

Nochmal:

Die Lösung steht auf der Webseite:
https://www.amd.com/en/resources/support-articles/faqs/pa-420.html

Das Problem wurde bereits 2022 behoben, die Mainboard Hersteller müssen für AMD ein BIOS zuschicken oder veröffentlichen.

Was die fTPM Version 3..2. oder 6...* beinhaltet.

Dadurch wurde es auch bei mir behoben, was ist daran nicht zu verstehen?

 

[Telemnaro]

Ich habe deinen Post verstanden und darauf eben erwidert, dass es bei meinem Board bisher nicht gefixt wurde. Fertiger Fix von AMD aus 2022 hin, oder her - ohne Implementierung dessen, geht es eben bei mir nicht

Daher überlege ich mir ein neues Mainboard mit B550- oder X570-Chipsatz zu holen. Wäre schön zu wissen, mit welchem neueren Board und Bios es funktioniert. Dafür könnte ich aber auch einen neuen Thread starten. Da hast du vielleicht recht

 

[Waldelfe]

Hallo? du willst es wohl nicht wirklich verstehen oder?

Das wurde bereits gefixt, auch für deine CPU!
Kontaktiere bitte dein Mainboard Hersteller. Dass du bitte für dein Board ein neues BIOS haben möchtest mit der fTPM Version 3.xx.2.xx oder 6.xx.xx.xx (Firmware)

Ein aller letztes mal noch..
https://www.amd.com/en/resources/support-articles/faqs/pa-420.html

Da wird auch beschrieben, dass man bitte den Mainboard Hersteller kontaktieren soll..

Zitat auf deutsch von AMD:
AMD hat dieses Problem in TPM-Firmware-Updates für Motherboard-Hersteller im Jahr 2022 behoben.

Auflösung​

Wenden Sie sich an den Kundenservice Ihres Motherboard-Herstellers, um festzustellen, ob ein Firmware-Update verfügbar ist.

Betroffene Plattformen​

Systeme mit RyzenTM 1000 – Ryzen 5000 Serie Desktop- und Notebook-Prozessoren

Da können andere Mitglieder jetzt auch nicht mehr weiterhelfen, da ich die Lösung bereits glasklar veröffentlicht habe. Was zu tun ist und das Problem wirst du wahrscheinlich auch mit andere Mainboards (Hersteller) haben.

Ergänzung (16. Juli 2025)

Bitte auch deinem Hersteller GIGABYTE schildern, dass dir die TPM-Attestierung sehr wichtig ist und die eben nicht vorhanden ist.

Nicht Unterstützt = Nicht vorhanden
Nicht Bereit = Nicht aktiviert

Und bitte auch GIGABYTE auf den Link von AMD hinweisen, dass dort asuch steht. Dass AMD an die Maonboardhersteller verweist.

Da AMD nichts mit dem BIOS / UEFI von den Mainboard Hersteller zutun haben und auch kein Einfluss darauf haben. Das wäre davon abgesehen dann auch ein inoffizielles modifiziertes BIOS von AMD, was nicht von den Mainboard Hersteller offiziell stamnmt.

Für mein Mainboard MPG B550 GAMING PLUS gibt auch bereits ein neues BIOS (7C56v1J 2025-05-12) und sah mich dazu gezwungen, trotzdem MSi anzuschreiben und haben mir per Mail ein neue BIOS Version zu geschickt mit der 3.92.2.5 Firmware Version des in der CPU integriertes TPM.


Mehr ist dazu echt nicht zu schreiben und ich sehe hier auch jetzt die Notwendigkeit, den Thread hier zu schließen.
Da es bereits eine klare offizielle Lösung gibt.

@Admins / Mods

 

[Firle]

Da TPM 2.0 eine Voraussetzung von Windows 11 ist, möchte ich eigentlich auch, dass es funktioniert und ich Kernisolierung aktivieren kann.

Die Kernisolierung und auch alle anderen Sicherheitsfeatures an der Stelle kannst du auch ohne diesen Nachweis aktivieren.

 

[Waldelfe]

@Firle Das ist korrekt, das hat nämlich nichts mit dem Sicherheitschip zu tun und ist ein völlig anderes Thema.

DIe Lösung habe ich bereits gestern geschrieben und gepostet, was man zu machen hat. Auch AMD hat dies veröffentlicht.