Подпись драйвера

@darkf0x · Регистрация: 25.03.2015

Студворк — интернет-сервис помощи студентам

Коллеги, приветствую!

Подскажите (кто имеет опыт), как официально подписать драйвер в MS?
Куда заливать исходники или сам драйвер, что для этого надо и т.п.

Спасибо!

Убежденный · 26.04.2016, 10:56

Зачем тебе его куда-то добавлять?
Просто используй signtool.exe для подписывания драйвера и все.

@karikjke · 06.06.2016, 00:19

Подпись драйвера под Windows 10 x64 аналогична Win7/8/8.1?

Убежденный · 06.06.2016, 10:09

Не совсем.

Требования к подписыванию драйверов в Windows 10 и Windows Server 2016
заметно ужесточились. Windows 10 постепенно переходит на новый режим,
который называется "attestation signing" - драйвер следует отправлять на
подпись в Microsoft, подписав пакет (.cab) сертификатом, причем сертификат
должен быть уровня EV (Extended Validation), не ниже.

Аналогичная процедура планируется для Windows Server 2016, причем там еще
требуется для каждого драйвера в обязательном порядке проходить HLK-тесты.

Много полезной информации по этим вопросам есть на форумах OSR Online (www.osronline.com), а
также на MSDN. На Channel 9 недавно выложили большое видео, где MS отвечает на вопросы о
подписывании драйверов (сам не смотрел еще):

Driver Certification on Windows Client and Server
https://channel9.msdn.com/Even... and-Server

@karikjke · 06.06.2016, 11:19

Убежденный, спасибо за ответ!

@push_nop · 18.08.2016, 15:54

Убежденный а можно пример командной строки как вы подписывали SHA1 сертификатом на GlobalSign?

Убежденный · 19.08.2016, 09:27

Примерно так:

Code
1
signtool.exe /n "CertName" /ac "CrossPath" /tr http://timestamp.globalsign.com/scripts/timestamp.dll "FileToSign"

где
CertName - название сертификата (должен быть установлен в хранилище)
CrossPath - путь к кросс-сертификату для GlobalSign
FileToSign - путь к файлу, который нужно подписать

Если подписывается не драйвер, тогда /ac и CrossPath не нужны.

@push_nop · 19.08.2016, 14:44

а пароль что не нужен? /p <password>

Убежденный · 19.08.2016, 18:28

Я использую командную строку выше, сертификат установлен в "Личные",
никакой пароль не требуется.

@push_nop · 22.08.2016, 20:04

хотел спросить а на SHA1 тоже можно использовать в таймштампе /tr или надо /t и формат файлов я так понимаю CertName - это pfx
а CrossPath это crt?

Убежденный · 22.08.2016, 20:13

Сообщение от push_nop

хотел спросить а на SHA1 тоже можно использовать в таймштампе /tr или надо /t

Ну например, у GlobalSign есть два timestamp-сервера - один для SHA1
(ссылка в примере выше, см. ключ /tr), второй для SHA256.

А использовать ли /t или /tr - это зависит от сертификата.
GlobalSign пишут, что для их сертификатов следует использовать только /tr.

Я несколько месяцев назад столкнулся со странным багом, когда драйвер,
подписанный сертификатом GlobalSign с ключом /t (не /tr), проходил все
валидации signtool verify /kp /tw и т.д., но при этом не загружался на Windows 7.

Сообщение от push_nop

CertName - это pfx

CertName - это имя сертификата. Например, /n "My Certificate".
Сертификат должен быть установлен в хранилище.

CrossPath - это полный путь к кросс-сертификату на диске.

@push_nop · 22.08.2016, 20:27

хм я всегда SHA2 делал сигн с таким таймштампом вот моя командная строка

signtool sign /ac "C:\Sign\GlobalSign Root CA.crt" /f "C:\Sign\OS204325542.pfx" /p password /fd SHA256 /tr http://timestamp.globalsign.co... estamp.dll "C:\Sign\File.sys"

Убежденный · 22.08.2016, 20:37

При такой комбинации получится, что цифровая подпись с SHA256, а в отметке времени стоит SHA1.

@push_nop · 22.08.2016, 21:44

это плохо или хорошо? у меня иногда бывают проблемы на некоторых Windows 7 не хочет грузить дров

Убежденный · 23.08.2016, 07:51

Сообщение от push_nop

это плохо или хорошо?

Microsoft все грозится отключить поддержку SHA1.
Как это затронет драйверы - неизвестно.
Но если есть возможность подписывать драйверы сертификатом SHA256,
то я бы рекомендовал и timestamp-сервер тоже использовать с SHA256.

Сообщение от push_nop

у меня иногда бывают проблемы на некоторых Windows 7 не хочет грузить дров

Возможно, это из-за отсутствия установленного обновления 3033929,
которое добавляет поддержу SHA256 на уровне ядра.

@push_nop · 23.08.2016, 12:43

Убежденный а можно один драйвер подписать и SHA1 и SHA256 чтобы он работал на большинство OS?

Убежденный · 23.08.2016, 21:22

Да. См. ключ /a (append signature) в signtool.exe.

@push_nop · 24.08.2016, 00:14

только уже не вижу в этом смысла я приобрёл серт у комодо за 84$ и SHA1 и SHA2 на год! выгодное предложение по сравнению с GlobalSign где только один стоил 300$... синганул всё SHA1 смотрю работает с XP до 10 (без упдейта 1607) все ОС без проблем или могут возникнуть какие то проблемы у пользователей? жаль что комодо не продаёт EV пока что, поищу для EV какой то другого продавца.. а вы брали на GlobalSign EV? интересно а старые серты что стояли 300$ не переводят в EV?

Убежденный · 24.08.2016, 00:28

Сообщение от push_nop

или могут возникнуть какие то проблемы у пользователей?

Я с SHA1 особых проблем не встречал, а те, что были, достаточно быстро решались.

Сообщение от push_nop

жаль что комодо не продаёт EV пока что, поищу для EV какой то другого продавца.

Для Win10-1607 подходят только EV от GlobalSign, Symantec, DigiCert, WoSign и Entrust.
Да, и EV физ.лицам не продают, а только на юр.лицо.

Сообщение от push_nop

а вы брали на GlobalSign EV?

Я для себя покупал у GlobalSign, пока они лавочку "for individuals" не прикрыли.

Сообщение от push_nop

интересно а старые серты что стояли 300$ не переводят в EV?

Что значит "переводят"?
Standard Certificate - это одно, а EV - это совсем другое.

Сообщение от push_nop

приобрёл серт у комодо за 84$ и SHA1 и SHA2 на год!

Это где такие выгодные предложения раздают?
На сайте у них инфа прямо сейчас: 179 Euro в год...

@push_nop · 24.08.2016, 00:50

вот через посредника http://codesigning.ksoftware.net/ лично купил и рад серт получил в тот же день как оплатил и предоставил малость документов на GlobalSign почти месяц меня гоняли в России...

что хреново что суппорт отвечает раз в пол часа-час а так всё хорошо и работает сам пользуюсь!

я не на частное лицо регистрирую у меня фирма и я уже предоставил все нужные документы в GlobalSign.. просто хотел узнать если я пол года назад на фирму оформил SHA256 серт он не станет EV?

Новые блоги и статьи Все статьи Все блоги /
попытка написать игровой сервер на C++ pyirrlicht 29.04.2026 попытка написать игровой сервер на плюсах с открытым бесконечным миром. возможно получится прикрутить интерпретатор питон для кастомизации игровой логики. что есть на текущий момент:. . .	Контроль уникальности выбранного документа-основания при изменении реквизита Maks 28.04.2026 Алгоритм из решения ниже разработан на примере нетипового документа "ЗаявкаНаРемонтСпецтехники", разработанного в КА2. Задача: уведомлять пользователя, если указанная заявка (документ-основание). . .	Благородство как наказание Maks 24.04.2026 У хорошего человека отношения с женщинами всегда складываются трудно. А я человек хороший. Заявляю без тени смущения, потому что гордиться тут нечем. От хорошего человека ждут соответствующего. . .	Валидация и контроль данных табличной части документа перед записью Maks 22.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа, разработанного в КА2. Задача: контроль и валидация данных табличной части документа перед записью с учетом регламента компании. . .
Отчёт о затраченных материалах за определенный период с макетом печатной формы Maks 21.04.2026 Отчёт из решения ниже размещён в конфигурации КА2. Задача: разработка отчёта по затраченным материалам за определённый период, с возможностью вывода печатной формы отчёта с шапкой и подвалом. В. . .	Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определённом условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .

@darkf0x 2 / 2 / 2 Регистрация: 25.03.2015 Сообщений: 42

	Подпись драйвера 03.07.2015, 14:33. Показов 9125. Ответов 38 Метки нет (Все метки) Коллеги, приветствую! Подскажите (кто имеет опыт), как официально подписать драйвер в MS? Куда заливать исходники или сам драйвер, что для этого надо и т.п. Спасибо! 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	26.04.2016, 10:56
	Зачем тебе его куда-то добавлять? Просто используй signtool.exe для подписывания драйвера и все. 0

@karikjke 0 / 0 / 0 Регистрация: 14.08.2015 Сообщений: 3
	06.06.2016, 00:19
	Подпись драйвера под Windows 10 x64 аналогична Win7/8/8.1? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	06.06.2016, 10:09
	Не совсем. Требования к подписыванию драйверов в Windows 10 и Windows Server 2016 заметно ужесточились. Windows 10 постепенно переходит на новый режим, который называется "attestation signing" - драйвер следует отправлять на подпись в Microsoft, подписав пакет (.cab) сертификатом, причем сертификат должен быть уровня EV (Extended Validation), не ниже. Аналогичная процедура планируется для Windows Server 2016, причем там еще требуется для каждого драйвера в обязательном порядке проходить HLK-тесты. Много полезной информации по этим вопросам есть на форумах OSR Online (www.osronline.com), а также на MSDN. На Channel 9 недавно выложили большое видео, где MS отвечает на вопросы о подписывании драйверов (сам не смотрел еще): Driver Certification on Windows Client and Server https://channel9.msdn.com/Even... and-Server 1

@karikjke 0 / 0 / 0 Регистрация: 14.08.2015 Сообщений: 3
	06.06.2016, 11:19
	Убежденный, спасибо за ответ! 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	18.08.2016, 15:54
	Убежденный а можно пример командной строки как вы подписывали SHA1 сертификатом на GlobalSign? 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	19.08.2016, 14:44
	а пароль что не нужен? /p <password> 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	19.08.2016, 18:28
	Я использую командную строку выше, сертификат установлен в "Личные", никакой пароль не требуется. 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	22.08.2016, 20:04
	хотел спросить а на SHA1 тоже можно использовать в таймштампе /tr или надо /t и формат файлов я так понимаю CertName - это pfx а CrossPath это crt? 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	22.08.2016, 20:27
	хм я всегда SHA2 делал сигн с таким таймштампом вот моя командная строка signtool sign /ac "C:\Sign\GlobalSign Root CA.crt" /f "C:\Sign\OS204325542.pfx" /p password /fd SHA256 /tr http://timestamp.globalsign.co... estamp.dll "C:\Sign\File.sys" 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	22.08.2016, 20:37
	При такой комбинации получится, что цифровая подпись с SHA256, а в отметке времени стоит SHA1. 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	22.08.2016, 21:44
	это плохо или хорошо? у меня иногда бывают проблемы на некоторых Windows 7 не хочет грузить дров 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	23.08.2016, 12:43
	Убежденный а можно один драйвер подписать и SHA1 и SHA256 чтобы он работал на большинство OS? 0

Убежденный Ушел с форума 16481 / 7444 / 1187 Регистрация: 02.05.2013 Сообщений: 11,616 Записей в блоге: 1
	23.08.2016, 21:22
	Да. См. ключ /a (append signature) в signtool.exe. 1

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	24.08.2016, 00:14
	только уже не вижу в этом смысла я приобрёл серт у комодо за 84$ и SHA1 и SHA2 на год! выгодное предложение по сравнению с GlobalSign где только один стоил 300$... синганул всё SHA1 смотрю работает с XP до 10 (без упдейта 1607) все ОС без проблем или могут возникнуть какие то проблемы у пользователей? жаль что комодо не продаёт EV пока что, поищу для EV какой то другого продавца.. а вы брали на GlobalSign EV? интересно а старые серты что стояли 300$ не переводят в EV? 0

@push_nop 2 / 2 / 0 Регистрация: 23.09.2015 Сообщений: 61
	24.08.2016, 00:50
	вот через посредника http://codesigning.ksoftware.net/ лично купил и рад серт получил в тот же день как оплатил и предоставил малость документов на GlobalSign почти месяц меня гоняли в России... что хреново что суппорт отвечает раз в пол часа-час а так всё хорошо и работает сам пользуюсь! я не на частное лицо регистрирую у меня фирма и я уже предоставил все нужные документы в GlobalSign.. просто хотел узнать если я пол года назад на фирму оформил SHA256 серт он не станет EV? 1