Pet*_*ahn 5 windows kernel driver code-signing
您知道为什么签名证书链中会丢失"Microsoft Code Verification Root"吗?
我们最近在两个域之间移动了构建系统,并且必须重新安装证书.我们发现我们遇到了一个签名问题,其中Microsoft不在链中导致安装期间内核驱动程序拒绝.
我们注意到我们在certmgr中有2个额外的证书:Trusted Publisher:Certificates
禁用3级公共主要认证后,"问题"就消失了,我们与微软建立了正确的签名链.
我不确定如何安装3级公共初级认证或我们使用它的是什么,并且正在测试我们可能面临的影响.
有没有人遇到过这种问题,他们是如何处理的?有没有办法在命令行上禁用class-3,这样我就可以单独保留certmgr设置,从而降低风险?
谢谢您的帮助
彼得
签署命令
signtool.exe sign /v /ac MSCV-VSClass3.cer /s TrustedPublisher /n "My Corp" /t http://timestamp.verisign.com/scripts/timstamp.dll mydriver.sys
签署验证 signtool验证/ kp/v mydriver.sys
*** Signing Certificate Chain:
*** Issued to: Class 3 Public Primary Certification Authority
*** Issued by: Class 3 Public Primary Certification Authority
*** Expires: 8/2/2028 7:59:59 PM
*** SHA1 hash: xxxxxxxxxxxxxxxxxx
Issued to: VeriSign Class 3 Code Signing 2009-2 CA
Issued by: Class 3 Public Primary Certification Authority
Expires: 5/20/2019 7:59:59 PM
SHA1 hash: xxxxxxxxxxxxxxxxxx
Issued to: My Corp
Issued by: VeriSign Class 3 Code Signing 2009-2 CA
Expires: 9/10/2013 8:59:59 PM
SHA1 hash: xxxxxxxxxxxxxxxxxx
理论上,我可以将与我的证书匹配的 verisign 的交叉签名证书安装到证书存储中,signtool 将自动使用它。但是,这可能会导致使用错误的证书进行交叉签名。
明确一点更好
SignTool.exe sign /v /s trustedpublisher /ac path-to-retrieved-cert\MSCV-VSClass3.cer /n myCertName /t http://timestamp.verisign.com/scripts/timestamp.dll driver-file-to-sign
SignTool.exe verify /kp /v drive-file-to-check
或者如果您有目录文件
SignTool.exe verify /kp /v /c driver-cat-file.cat drive-sys-file.sys
| 归档时间: |
|
| 查看次数: |
3859 次 |
| 最近记录: |