#windows #kernel #driver-signing
Вопрос:
Microsoft устарели сертификаты перекрестной подписи, однако из документов неясно, что это за новая процедура.
Из приведенных выше документов MS является единственным поставщиком, но их служба поддержки утверждает, что вы все еще можете получить его у других поставщиков (например, Digicert, Globalsign и т. Д.).
Кто-нибудь знает, каков процесс подписания драйверов рабочего ядра для Windows 11 и 10?
Любая помощь будет признательна, спасибо!
Ответ №1:
Я сам этого не делал, но если вы хотите создать модуль ядра для Windows 10 или 11, я думаю, вам следует использовать «подпись подтверждения». На странице, на которую вы ссылаетесь, есть ссылка «подписание аттестации», которая находится здесь:
В основном вы создаете драйвер, подписываете его сертификатом EV от центра сертификации, а затем отправляете его на проверку и подпись Microsoft, используя веб-сайт под названием «Портал информационной панели Центра разработчиков оборудования». Я также видел, как Microsoft использовала некоторые другие названия для веб-сайта: «Панель мониторинга Центра разработки оборудования» и «Партнерский центр».
Вам не нужно использовать портал, если вы создаете простой драйвер только для INF, или используете модуль ядра, который является частью Windows, или используете модуль ядра, который уже был должным образом подписан другой стороной.
Вот оригинальное объявление от 2015 года, представляющее портал: https://techcommunity.microsoft.com/t5/windows-hardware-certification/driver-signing-changes-in-windows-10/ba-p/364859
В этой длинной статье, которую я написал, есть больше информации: https://www.davidegrayson.com/signing/
Комментарии:
1. Спасибо, я знаю о подписании аттестации и использовал ее в прошлом, однако, поскольку этот документ не обновлялся с 2017 года, а MS впоследствии изменила процесс, как я могу быть уверен, что он все еще будет работать? вы тоже писали «… и подписано MS», вы имели в виду перекрестную подпись (устаревшую процедуру) или что-то еще? и если последнее, то что именно? высоко ценю!
2. Насколько я понимаю, Microsoft применяет соответствующую подпись к вашему драйверу после того, как вы отправите его им, и их подписи будет достаточно, чтобы загрузить его в любые операционные системы, которые вы запросили при использовании портала. Это будет отличаться от старой перекрестной подписи, но я не думаю, что нам нужно знать подробности, так как Microsoft позаботится о создании подписи.
3. Спасибо за ответ, мы последовали предложению (это похоже на то, что также предложила Microsoft), и нам потребовалось некоторое время, чтобы получить сертификат, однако он не сработал, и теперь драйвер не загружается с ошибкой 0x800B010C «Сертификат был явно отозван его эмитентом». несмотря на то, что все сертификаты действительны, как было проверено при запуске «signtool verify /v /va /all <файл>». Есть какие-нибудь идеи?
4. О каком сертификате вы говорите и кто вам его выдал? Вы дважды щелкнули по нему и проверили его и всю его цепочку доверия? Похоже, что у эмитента есть ошибка на их стороне. Большинство сертификатов поставляются с URL-адресом для списка отзыва сертификатов, который в основном представляет собой веб-сайт, на котором эмитент может отозвать сертификаты в случае, если что-то пойдет не так (например, сертификат был нарушен или его закрытый ключ был утечен). Я не уверен, проверяет ли signtool списки отзыва сертификатов или нет.
5. Спасибо @David, это сертификат EV от Certum, и мы уже проверили всю цепочку и проверили CRL вручную, наш сертификат не отозван, а CRL для оборудования MS (используется при подписании аттестации) пуст.