Comment puis-je créer une "Carte à puce virtuelle" sur mon TPM sans joindre mon ordinateur Windows à un domaine ?

Je souhaite stocker un certificat client OpenVPN sur nos ordinateurs portables sécurisés par mon TPM, afin que le certificat ne puisse pas être volé / extrait de l'ordinateur portable même avec des droits d'administrateur.

Microsoft propose des " Cartes à puce virtuelles " qui utilisent le TPM. Je devrais pouvoir y accéder via PKCS11 à partir du client OpenVPN.configuration . Il existe des bibliothèques/adaptateurs CAPI vers PKCS11 .

Je peux créer un lecteur de carte à puce virtuel en utilisant ceci commande :

tpmvscmgr.exe create /name OpenVPN1 /pin prompt /pinpolicy minlen 4 maxlen 8 /adminkey random /generate

Cela fonctionne. Cependant, j'ai maintenant besoin d'un moyen de générer une demande de signature de clé publique / privée et de certificat, que je peux signer sur mon CA openssl.

Cependant, Microsoft dans son tutoriel souhaite que vous connectiez l'ordinateur à un domaine avec un contrôleur de domaine. Et créez un "modèle de certificat" sur le contrôleur de domaine. Je ne veux / n'ai pas besoin de ça. Je n'utilise pas l'autorité de certification Microsoft. J'ai une CA openssl séparée.

Existe-t-il un moyen de créer un paire de clés publiques / privées sans joindre l'ordinateur portable à un domaine ?