我做了一个驱动程序,现在我需要签名。它以内核模式运行。
根据我在 Microsoft 的内核模式代码签名演练中阅读的内容,我必须从商业CA购买软件发布者证书。在该文档中,他们说要查看最后,然后按照此链接获取我可以从中购买该证书的 CA 列表。我发现这个链接非常令人困惑,因为我无法确切知道我需要购买什么证书。我需要对驱动程序进行签名,以便它将安装在 64 位 Windows 系统上。非常欢迎直接链接(我想从 GlobalSign 购买)。
是这里的 Microsoft Authenticode吗?
前段时间我在微软驱动开发者论坛上问过一个类似的问题。这是他们的答案:
您需要让您的公司从 GlobalSign 或 VeriSign 获得代码签名证书(不再提供该链接中列出的其他证书)。GlobalSign 更便宜,但威瑞信的优势在于提供对 WHQL 的访问权限,前提是您的公司对此感兴趣。这些并不便宜,威瑞信证书每年花费 499 美元。获得证书后,您可以使用它而不是测试证书来签署驱动程序。
您的链接在支持的平台中包含此信息:通过 Authenticode(32 位和 64 位 .exe、.ocx、.dll 或其他)和适用于 Windows 的内核软件对 Windows ActiveX控件进行数字签名。Windows 7 兼容。
看来您来对地方了。
准确地说:我还没有使用代码认证,我只是学习它。我建议您在 osronline 或 Microsoft 驱动程序开发人员论坛中验证此答案。
查看https://www.startssl.com/?app=40 - StartSSL 以 199.00 美元的价格提供此类证书
交叉签名 CA 证书位于https://www.startssl.com/certs/ ,名为 microsoft.kernel.mode.pem 或 microsoft.kernel.mode.crt
您可以从 Digicert 购买签名。
Digicert 将在 zip 文件中颁发交叉签名证书。解压 DigiCert High Assurance EV Root CA.crt
双击它并将其添加到您的 IE 个人商店
使用 IE,将证书和密码导出到 .pfx 文件
签署驱动程序的命令是
signtool sign /t http://timestamp.digicert.com /f ".pfx 文件的路径" /p PASSWORD_OF_PFX "驱动程序.cat 文件的路径"
您可以使用相同的命令对 .exe 文件进行签名 signtool sign /t http://timestamp.digicert.com /f "path to .pfx file" /p PASSWORD_OF_PFX "path to driver .exe file"
确保这台机器可以访问互联网,否则签名过程将失败。