如何使用植根于我自己的 CA 的证书为 Windows Vista(和更高版本)的驱动程序签名,并使 Windows 知道特定证书或它所植根的 CA 可以在不启用测试签名模式( bcdedit -set TESTSIGNING ON) 的情况下加载?
基本原理:启用测试签名意味着为任何事情全局启用它。我不想要那个。我想要对运行的内容进行细粒度控制。该驱动程序不适合广泛使用,因此我不想通过启用全局测试签名在我的安全措施中打开一个巨大的漏洞。据我所知,测试签名基本上归结为检查驱动程序是否已签名(而不是证书链是否适用于 Windows 内核)。
注意:我知道内核模式代码签名策略及其陷阱,我也知道如何通过测试签名等方式测试驱动程序,因此无需指出这些。事实上,这些事情我都做过。我真正感兴趣的只是注册我自己的证书或它所在的 CA,以便允许使用该证书签名的驱动程序运行。本地系统证书存储(注册表的一部分,AFAIR)在启动过程的早期似乎不可用,或者没有得到检查。