Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Ниже описаны два известных проблемы подписывания драйвера.
Проблема подписывания предыдущей ОС
Каждый новый выпуск Windows и впоследствии в выпущенных пакетах обновления корневые сертификаты от сертифицированных поставщиков ЦС Майкрософт, новые или существующие поставщики с новыми сертификатами добавляются в образ ОС. Например, Vista, XP и т. д. У OSes могут возникнуть неизвестные проблемы с подписью или драйвер, не подписанные, если компьютер под тестом не подключен к Интернету. Если компьютер, на котором выполняется тестирование, подключен к Интернету, новые сертификаты автоматически скачиваются при установке драйвера и не будут возникать никаких проблем. Иногда поставщики ЦС также могут помочь в устранении проблем, когда компьютер под тестом не подключен к Интернету.
Ошибка кода 52
Существует известная ошибка для ОС Windows 7 x64, когда файл каталога (CAT) подписан с помощью нового выпущенного сертификата подписи VeriSign, использующего алгоритм SHA256. Если открыть подписанный файл cat и просмотреть подпись и выбрать вкладку "Сведения", вы увидите следующее:
Чтобы устранить проблему, можно попросить VeriSign предоставить сертификат замены без подписи с помощью хэш-алгоритма SHA1.
Кроме того, вы можете приобрести другой сертификат SHA1 и подписать файл двумя подписями, как показано ниже, если вы хотите сохранить оба сертификата. Обратите внимание, что только .sys файлы могут быть двойными подписами, так как они являются PE-файлами.
Signtool sign /fd sha256 /ac C:\MyCrossCert\Crosscert.cer /s my /n “MyCompany Inc. “ /ph /as /sha1 XX...XX C:\DriverDir\toaster.SYS
Где XX... XX — это хэш сертификата, который вы используете для вторичной подписи. Добавьте /tr в подпись метки времени.
Примечание. Обратите внимание на рекомендации по безопасности Майкрософт (2880823) "Отмена алгоритма хэширования SHA-1 для программы корневого сертификата Майкрософт", в которой описывается изменение политики, в котором корпорация Майкрософт больше не позволит корневым центрам сертификации выдавать сертификаты X.509 с помощью алгоритма хэширования SHA-1 в целях подписи SSL и кода после 1 января 2016 года.
Использование сертификата SHA1 будет устарело корпорацией Майкрософт с 1 января 2016 г. Все поставщики ЦС должны выдавать сертификаты подписи с помощью хэш-алгоритма SHA256.
Windows перестанет принимать сертификаты подписывания кода SHA1 без меток времени после 1 января 2016 года.