由于 Windows 更改其安全策略,我们计划开始使用 SHA-256 算法而不是 SHA-1 对驱动程序文件进行代码签名。但是,我们仍然希望能够支持仍然需要 SHA-1 签名的旧操作系统。
使用 Microsoft signtool.exe,我们能够使用 /fd 标志成功地使用 SHA-1 和 SHA-256 摘要算法对签名文件进行编码。但是,如果可能,我们希望同时使用两种算法对文件进行签名。这甚至可能吗?我们希望避免使用使用不同算法签名的多组驱动程序,并根据操作系统确定要安装的一组驱动程序——这将是我们的替代方法。
如果有人有完成此操作的经验,请解释您采用的方法。如果这是不可能的,将不胜感激解释为什么不可能。