警告
Windows Hello 企业版和 FIDO2 安全密钥是适用于 Windows 的新式双因素身份验证方法。 建议使用虚拟智能卡的客户迁移到 Windows Hello 企业版 或 FIDO2。 对于新的 Windows 安装,建议Windows Hello 企业版或 FIDO2 安全密钥。
Tpmvscmgr 命令行工具允许具有管理凭据的用户在计算机上创建和删除 TPM 虚拟智能卡。 有关如何使用此命令的示例,请参阅 示例。
语法
Tpmvscmgr create [/quiet] /name <name> /AdminKey {DEFAULT | PROMPT | RANDOM} [/PIN {DEFAULT | PROMPT}] [/PUK {DEFAULT | PROMPT}] [/generate] [/machine <machine name>] [/pinpolicy [policy options]] [/attestation {AIK_AND_CERT | AIK_ONLY}] [/?]
Tpmvscmgr destroy [/quiet] [/instance <device instance ID>] [/machine <machine name>] [/?]
“创建”命令的参数
Create 命令在用户的系统上设置新的虚拟智能卡。 如果需要删除,它将返回新创建的卡的实例 ID,供以后参考。 实例 ID 的格式ROOT\SMARTCARDREADER\000n为 ,其中 n 从 0 开始,每次创建新的虚拟智能卡时都会增加 1。
| 参数 | 描述 |
|---|---|
| /名字 | 必需。 指示新的虚拟智能卡的名称。 |
| /AdminKey | 指示在用户忘记 PIN 时可用于重置卡 PIN 的所需管理员密钥。 默认 指定010203040506070801020304050607080102030405060708的默认值。 提示 提示用户输入管理员密钥的值。 随机导致不向用户返回的卡的管理员密钥的随机设置。 这会创建可能无法使用智能卡管理工具进行管理的卡。 使用 RANDOM 生成时,管理员密钥设置为 48 个十六进制字符。 |
| /针 | 指示所需的用户 PIN 值。 默认 指定12345678的默认 PIN。 提示 提示用户在命令行中输入 PIN。 PIN 必须至少为 8 个字符,并且可以包含数字、字符和特殊字符。 |
| /PUK | 指示所需的 PIN 解锁密钥 (PUK) 值。 PUK 值必须至少为 8 个字符,并且可以包含数字、字符和特殊字符。 如果省略参数,则会创建不带 PUK 的卡。 默认 指定默认 PUK 12345678。 提示 提示用户在命令行中输入 PUK。 |
| /生成 | 在存储中生成虚拟智能卡正常运行所需的文件。 如果省略 /generate 参数,则等效于创建不带此文件系统的卡。 没有文件系统的卡只能由智能卡管理系统(例如Microsoft Configuration Manager)进行管理。 |
| /machine | 允许指定可在其中创建虚拟智能卡的远程计算机的名称。 这只能在域环境中使用,并且依赖于 DCOM。 若要使命令在不同的计算机上成功创建虚拟智能卡,运行此命令的用户必须是远程计算机上的本地管理员组中的成员。 |
| /pinpolicy | 如果使用 /pin 提示 符, 则 /pinpolicy 允许指定以下 PIN 策略选项: minlen<最小 PIN 长度> 如果未指定,则默认为 8。 下限为 4。 maxlen<最大 PIN 长度> 如果未指定,则默认为 127。 上限为 127。 大写 可以是 “允许”、“ 不允许”或 “必需”。 默认值为 ALLOWED。 小写 可以是 “允许”、“ 不允许”或 “必需”。 默认值为 ALLOWED。 数字 可以是 “允许”、“ 不允许”或 “必需”。 默认值为 ALLOWED。 specialchars 可以是 “允许”、“ 不允许”或 “必需”。 默认值为 ALLOWED。 使用 /pinpolicy 时,PIN 字符必须是可打印的 ASCII 字符。 |
| /认证 | 仅) 配置主题 (证明。 此证明使用证明标识密钥 (AIK) 证书作为信任定位点,以保证虚拟智能卡密钥和证书是真正硬件绑定的。 证明方法是: AIK_AND_CERT 创建 AIK 并从 Microsoft 云证书颁发机构获取 AIK 证书, (CA) 。 这要求设备具有具有 EK 证书的 TPM。 如果指定了此选项并且没有网络连接,则虚拟智能卡的创建可能会失败。 AIK_ONLY 创建 AIK,但不获取 AIK 证书。 |
| /? | 显示此命令的帮助。 |
Destroy 命令的参数
Destroy 命令安全地从计算机中删除虚拟智能卡。
警告
删除虚拟智能卡后,无法恢复。
| 参数 | 描述 |
|---|---|
| /实例 | 指定要删除的虚拟智能卡的实例 ID。 创建卡时,Tpmvscmgr.exe 生成了 instanceID 作为输出。 /instance 参数是 Destroy 命令的必填字段。 |
| /machine | 允许指定将删除虚拟智能卡的远程计算机的名称。 这只能在域环境中使用,并且依赖于 DCOM。 若要使命令成功删除其他计算机上的虚拟智能卡,运行此命令的用户必须是远程计算机上的本地管理员组中的成员。 |
| /? | 显示此命令的帮助。 |
备注
在目标计算机上,管理员组中 (或等效) 的成员身份是运行此命令的所有参数所需的最低要求。
对于字母数字输入,允许使用完整的 127 字符 ASCII 集。
示例
以下命令演示如何创建一个虚拟智能卡,以后可以通过从另一台计算机启动的智能卡管理工具进行管理。
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey DEFAULT /PIN PROMPT
或者,可以在命令行创建管理员密钥,而不是使用默认管理员密钥。 以下命令演示如何创建管理员密钥。
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey PROMPT /PIN PROMPT
以下命令将创建可用于注册证书的非托管虚拟智能卡。
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /AdminKey RANDOM /PIN PROMPT /generate
上述命令将使用随机管理员密钥创建虚拟智能卡。 创建卡后,会自动丢弃密钥。 这意味着,如果用户忘记 PIN 或想要更改 PIN,则用户需要删除卡并重新创建它。 若要删除卡,用户可以运行以下命令。
tpmvscmgr.exe destroy /instance <instance ID>
其中<,实例 ID> 是用户创建卡时在屏幕上打印的值。 具体而言,对于创建的第一个卡,实例 ID 为 ROOT\SMARTCARDREADER\0000。
以下命令将使用管理员密钥的默认值以及指定的 PIN 策略和证明方法创建 TPM 虚拟智能卡:
tpmvscmgr.exe create /name "VirtualSmartCardForCorpAccess" /PIN PROMPT /pinpolicy minlen 4 maxlen 8 /AdminKey DEFAULT /attestation AIK_AND_CERT /generate