Подпись драйвера

@darkf0x · Регистрация: 25.03.2015

Студворк — интернет-сервис помощи студентам

Коллеги, приветствую!

Подскажите (кто имеет опыт), как официально подписать драйвер в MS?
Куда заливать исходники или сам драйвер, что для этого надо и т.п.

Спасибо!

Убежденный · 26.04.2016, 10:56

Зачем тебе его куда-то добавлять?
Просто используй signtool.exe для подписывания драйвера и все.

@karikjke · 06.06.2016, 00:19

Подпись драйвера под Windows 10 x64 аналогична Win7/8/8.1?

Убежденный · 06.06.2016, 10:09

Не совсем.

Требования к подписыванию драйверов в Windows 10 и Windows Server 2016
заметно ужесточились. Windows 10 постепенно переходит на новый режим,
который называется "attestation signing" - драйвер следует отправлять на
подпись в Microsoft, подписав пакет (.cab) сертификатом, причем сертификат
должен быть уровня EV (Extended Validation), не ниже.

Аналогичная процедура планируется для Windows Server 2016, причем там еще
требуется для каждого драйвера в обязательном порядке проходить HLK-тесты.

Много полезной информации по этим вопросам есть на форумах OSR Online (www.osronline.com), а
также на MSDN. На Channel 9 недавно выложили большое видео, где MS отвечает на вопросы о
подписывании драйверов (сам не смотрел еще):

Driver Certification on Windows Client and Server
https://channel9.msdn.com/Even... and-Server

@karikjke · 06.06.2016, 11:19

Убежденный, спасибо за ответ!

@push_nop · 18.08.2016, 15:54

Убежденный а можно пример командной строки как вы подписывали SHA1 сертификатом на GlobalSign?

Убежденный · 19.08.2016, 09:27

Примерно так:

Code
1
signtool.exe /n "CertName" /ac "CrossPath" /tr http://timestamp.globalsign.com/scripts/timestamp.dll "FileToSign"

где
CertName - название сертификата (должен быть установлен в хранилище)
CrossPath - путь к кросс-сертификату для GlobalSign
FileToSign - путь к файлу, который нужно подписать

Если подписывается не драйвер, тогда /ac и CrossPath не нужны.

@push_nop · 19.08.2016, 14:44

а пароль что не нужен? /p <password>

Убежденный · 19.08.2016, 18:28

Я использую командную строку выше, сертификат установлен в "Личные",
никакой пароль не требуется.

@push_nop · 22.08.2016, 20:04

хотел спросить а на SHA1 тоже можно использовать в таймштампе /tr или надо /t и формат файлов я так понимаю CertName - это pfx
а CrossPath это crt?

Убежденный · 22.08.2016, 20:13

Сообщение от push_nop

хотел спросить а на SHA1 тоже можно использовать в таймштампе /tr или надо /t

Ну например, у GlobalSign есть два timestamp-сервера - один для SHA1
(ссылка в примере выше, см. ключ /tr), второй для SHA256.

А использовать ли /t или /tr - это зависит от сертификата.
GlobalSign пишут, что для их сертификатов следует использовать только /tr.

Я несколько месяцев назад столкнулся со странным багом, когда драйвер,
подписанный сертификатом GlobalSign с ключом /t (не /tr), проходил все
валидации signtool verify /kp /tw и т.д., но при этом не загружался на Windows 7.

Сообщение от push_nop

CertName - это pfx

CertName - это имя сертификата. Например, /n "My Certificate".
Сертификат должен быть установлен в хранилище.

CrossPath - это полный путь к кросс-сертификату на диске.

@push_nop · 22.08.2016, 20:27

хм я всегда SHA2 делал сигн с таким таймштампом вот моя командная строка

signtool sign /ac "C:\Sign\GlobalSign Root CA.crt" /f "C:\Sign\OS204325542.pfx" /p password /fd SHA256 /tr http://timestamp.globalsign.co... estamp.dll "C:\Sign\File.sys"

Убежденный · 22.08.2016, 20:37

При такой комбинации получится, что цифровая подпись с SHA256, а в отметке времени стоит SHA1.

@push_nop · 22.08.2016, 21:44

это плохо или хорошо? у меня иногда бывают проблемы на некоторых Windows 7 не хочет грузить дров

Убежденный · 23.08.2016, 07:51

Сообщение от push_nop

это плохо или хорошо?

Microsoft все грозится отключить поддержку SHA1.
Как это затронет драйверы - неизвестно.
Но если есть возможность подписывать драйверы сертификатом SHA256,
то я бы рекомендовал и timestamp-сервер тоже использовать с SHA256.

Сообщение от push_nop

у меня иногда бывают проблемы на некоторых Windows 7 не хочет грузить дров

Возможно, это из-за отсутствия установленного обновления 3033929,
которое добавляет поддержу SHA256 на уровне ядра.

@push_nop · 23.08.2016, 12:43

Убежденный а можно один драйвер подписать и SHA1 и SHA256 чтобы он работал на большинство OS?

Убежденный · 23.08.2016, 21:22

Да. См. ключ /a (append signature) в signtool.exe.

@push_nop · 24.08.2016, 00:14

только уже не вижу в этом смысла я приобрёл серт у комодо за 84$ и SHA1 и SHA2 на год! выгодное предложение по сравнению с GlobalSign где только один стоил 300$... синганул всё SHA1 смотрю работает с XP до 10 (без упдейта 1607) все ОС без проблем или могут возникнуть какие то проблемы у пользователей? жаль что комодо не продаёт EV пока что, поищу для EV какой то другого продавца.. а вы брали на GlobalSign EV? интересно а старые серты что стояли 300$ не переводят в EV?

Убежденный · 24.08.2016, 00:28

Сообщение от push_nop

или могут возникнуть какие то проблемы у пользователей?

Я с SHA1 особых проблем не встречал, а те, что были, достаточно быстро решались.

Сообщение от push_nop

жаль что комодо не продаёт EV пока что, поищу для EV какой то другого продавца.

Для Win10-1607 подходят только EV от GlobalSign, Symantec, DigiCert, WoSign и Entrust.
Да, и EV физ.лицам не продают, а только на юр.лицо.

Сообщение от push_nop

а вы брали на GlobalSign EV?

Я для себя покупал у GlobalSign, пока они лавочку "for individuals" не прикрыли.

Сообщение от push_nop

интересно а старые серты что стояли 300$ не переводят в EV?

Что значит "переводят"?
Standard Certificate - это одно, а EV - это совсем другое.

Сообщение от push_nop

приобрёл серт у комодо за 84$ и SHA1 и SHA2 на год!

Это где такие выгодные предложения раздают?
На сайте у них инфа прямо сейчас: 179 Euro в год...

@push_nop · 24.08.2016, 00:50

вот через посредника http://codesigning.ksoftware.net/ лично купил и рад серт получил в тот же день как оплатил и предоставил малость документов на GlobalSign почти месяц меня гоняли в России...

что хреново что суппорт отвечает раз в пол часа-час а так всё хорошо и работает сам пользуюсь!

я не на частное лицо регистрирую у меня фирма и я уже предоставил все нужные документы в GlobalSign.. просто хотел узнать если я пол года назад на фирму оформил SHA256 серт он не станет EV?

Новые блоги и статьи Все статьи Все блоги /
Отправка уведомления на почту при изменении наименования справочника Maks 24.03.2026 Программная отправка письма электронной почты на примере изменения наименования типового справочника "Склады" в конфигурации БП3. Перед реализацией необходимо выполнить настройку системной учетной. . .	модель ЗдравоСохранения 5. Меньше увольнений- больше дохода! anaschu 24.03.2026 Теперь система здравосохранения уменьшает количество увольнений. 9TO2GP2bpX4 a42b81fb172ffc12ca589c7898261ccb/ https:/ / rutube. ru/ video/ a42b81fb172ffc12ca589c7898261ccb/ Слева синяя линия -. . .	Midnight Chicago Blues kumehtar 24.03.2026 Такой Midnight Chicago Blues, знаешь?. . Когда вечерние улицы становятся ночными, а ты не можешь уснуть. Ты идёшь в любимый старый бар, и бармен наливает тебе виски. Ты смотришь на пролетающие. . .	Контроль уникальности заводского номера - вариант №2 Maks 24.03.2026 В отличие от предыдущего варианта добавлено прерывание циклов, также добавлены новые переменные для сохранения контекста ошибки перед прерыванием цикла: Процедура ПередЗаписью(Отказ, РежимЗаписи,. . .
SDL3 для Desktop (MinGW): Вывод текста со шрифтом TTF с помощью библиотеки SDL3_ttf на Си и C++ 8Observer8 24.03.2026 Содержание блога Финальные проекты на Си и на C++: finish-text-sdl3-c. zip finish-text-sdl3-cpp. zip	Жизнь в неопределённости kumehtar 23.03.2026 Жизнь — это постоянное существование в неопределённости. Например, даже если у тебя есть список дел, невозможно дойти до точки, где всё окончательно завершено и больше ничего не осталось. В принципе,. . .	Модель здравоСохранения: работники работают быстрее после её введения. anaschu 23.03.2026 geJalZw1fLo Корпорация до введения программа здравоохранения имела много невыполненных работниками заданий, после введения программы количество заданий выросло. Но на выплатах по больничным это. . .	Контроль уникальности заводского номера - вариант №1 Maks 23.03.2026 Алгоритм контроля уникальности заводского (или серийного) номера на примере нетипового документа выдачи шин для спецтехники с табличной частью, разработанного в конфигурации КА2. Данные берутся из. . .

@darkf0x 2 / 2 / 2 Регистрация: 25.03.2015 Сообщений: 42

	Подпись драйвера 03.07.2015, 14:33. Показов 9091. Ответов 38 Метки нет (Все метки) Коллеги, приветствую! Подскажите (кто имеет опыт), как официально подписать драйвер в MS? Куда заливать исходники или сам драйвер, что для этого надо и т.п. Спасибо! 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	26.04.2016, 10:56
	Зачем тебе его куда-то добавлять? Просто используй signtool.exe для подписывания драйвера и все. 0

@karikjke 0 / 0 / 0 Регистрация: 14.08.2015 Сообщений: 3
	06.06.2016, 00:19
	Подпись драйвера под Windows 10 x64 аналогична Win7/8/8.1? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	06.06.2016, 10:09
	Не совсем. Требования к подписыванию драйверов в Windows 10 и Windows Server 2016 заметно ужесточились. Windows 10 постепенно переходит на новый режим, который называется "attestation signing" - драйвер следует отправлять на подпись в Microsoft, подписав пакет (.cab) сертификатом, причем сертификат должен быть уровня EV (Extended Validation), не ниже. Аналогичная процедура планируется для Windows Server 2016, причем там еще требуется для каждого драйвера в обязательном порядке проходить HLK-тесты. Много полезной информации по этим вопросам есть на форумах OSR Online (www.osronline.com), а также на MSDN. На Channel 9 недавно выложили большое видео, где MS отвечает на вопросы о подписывании драйверов (сам не смотрел еще): Driver Certification on Windows Client and Server https://channel9.msdn.com/Even... and-Server 1

@karikjke 0 / 0 / 0 Регистрация: 14.08.2015 Сообщений: 3
	06.06.2016, 11:19
	Убежденный, спасибо за ответ! 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	18.08.2016, 15:54
	Убежденный а можно пример командной строки как вы подписывали SHA1 сертификатом на GlobalSign? 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	19.08.2016, 14:44
	а пароль что не нужен? /p <password> 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	19.08.2016, 18:28
	Я использую командную строку выше, сертификат установлен в "Личные", никакой пароль не требуется. 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	22.08.2016, 20:04
	хотел спросить а на SHA1 тоже можно использовать в таймштампе /tr или надо /t и формат файлов я так понимаю CertName - это pfx а CrossPath это crt? 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	22.08.2016, 20:27
	хм я всегда SHA2 делал сигн с таким таймштампом вот моя командная строка signtool sign /ac "C:\Sign\GlobalSign Root CA.crt" /f "C:\Sign\OS204325542.pfx" /p password /fd SHA256 /tr http://timestamp.globalsign.co... estamp.dll "C:\Sign\File.sys" 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	22.08.2016, 20:37
	При такой комбинации получится, что цифровая подпись с SHA256, а в отметке времени стоит SHA1. 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	22.08.2016, 21:44
	это плохо или хорошо? у меня иногда бывают проблемы на некоторых Windows 7 не хочет грузить дров 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	23.08.2016, 12:43
	Убежденный а можно один драйвер подписать и SHA1 и SHA256 чтобы он работал на большинство OS? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	23.08.2016, 21:22
	Да. См. ключ /a (append signature) в signtool.exe. 1

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	24.08.2016, 00:14
	только уже не вижу в этом смысла я приобрёл серт у комодо за 84$ и SHA1 и SHA2 на год! выгодное предложение по сравнению с GlobalSign где только один стоил 300$... синганул всё SHA1 смотрю работает с XP до 10 (без упдейта 1607) все ОС без проблем или могут возникнуть какие то проблемы у пользователей? жаль что комодо не продаёт EV пока что, поищу для EV какой то другого продавца.. а вы брали на GlobalSign EV? интересно а старые серты что стояли 300$ не переводят в EV? 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	24.08.2016, 00:50
	вот через посредника http://codesigning.ksoftware.net/ лично купил и рад серт получил в тот же день как оплатил и предоставил малость документов на GlobalSign почти месяц меня гоняли в России... что хреново что суппорт отвечает раз в пол часа-час а так всё хорошо и работает сам пользуюсь! я не на частное лицо регистрирую у меня фирма и я уже предоставил все нужные документы в GlobalSign.. просто хотел узнать если я пол года назад на фирму оформил SHA256 серт он не станет EV? 1