问题标签 [driver-signing]

最近，我和我的团队一直在探索替换我们的 windows 来构建带有 Amazon 实例的机器的可能性。我们从亚马逊（https://aws.amazon.com/blogs/security/signing-executables-with-microsoft-signtool-exe-using-aws-cloudhsm-backed-certificates/）看到这篇文章，并希望它将允许我们构建我们的 Windows 二进制文件并使用适当的证书对其进行签名。

不过，我们现在遇到的最大问题是，我们的一款产品使用扩展验证 (EV) 证书来构建 Windows 驱动程序。该 EV 证书与 USB 加密狗绑定在一起。

不幸的是，为此我还没有找到任何明确的文档。我发现了这一点，https://forums.aws.amazon.com/thread.jspa?messageID=947339璋，但仍不确定。

是否有人使用 AWS CloudHSM 设置成功签署了 Windows 二进制文件的 EV 证书？如果是这样，你能分享你的经验吗？非常感谢。

我最近接受了一项任务，从使用 Visual Studio 2015 -> 2019 构建更新我们的过滤器驱动程序。我还迁移到了最新的 SDK + WDK 22000（这是新的 Windows 11 版本）。

除了在 Win 7 x64（带安全启动）盒子上驱动程序不再加载之外，一切似乎都正常工作。它得到：

我们的驱动程序是/是微软通过 MS 硬件门户签署的证明，因此它由我们公司和微软联合签署，每个都有 SHA-2 签名。Windows 7 不支持开箱即用的 SHA-2 证书，但是，它以前可以正常工作：

Windows6.1-KB3033929-x64

已安装。不过似乎有些东西发生了变化，即使有最新的更新，Windows 7 x64 机器也无法加载新驱动程序。即使两者上的证书看起来相同，他们也可以很好地加载 2015 年构建的驱动程序。新驱动程序可以在 Windows 10 机器上正常加载。

是否有人知道可能导致此组合无法加载的任何其他更改？

在具有散列输出的文件上运行 Sysinternals 时sigcheck.exe，它会列出 SHA1 和 SHA256 散列的“PE”变体。我对 PESHA 是什么以及它是如何计算的很感兴趣。搜索术语“PESHA1”或“PE256”得到的信息很少。到目前为止，只要相关文件没有验证码签名，我只确定它始终与常规 SHA 哈希函数相同。

在下图中，我sigcheck.exe首先在没有签名的常规文本文件上运行，然后在嵌入了证书的第二个 Windows 可移植可执行文件上运行。

Microsoft 弃用了交叉签名证书，但是，从文档中不清楚新程序是什么。

从上面的文档中，MS 是唯一的提供者，但他们的支持声称您仍然可以从其他供应商处获得一个（例如 Digicert、Globalsign 等......）

有人知道为 Windows 11 和 10 签署生产内核驱动程序的过程是什么吗？

任何帮助将不胜感激，谢谢！

我正在尝试从 Microsoft Windows 驱动程序示例中编译 XPSDrv 驱动程序和过滤器示例。 https://github.com/microsoft/Windows-driver-samples/tree/master/print/XPSDrvSmpl
我一步一步地按照说明进行操作。

解决方案构建失败：

我提到了这两个问题。但答案在我的情况下不起作用。
设备驱动程序未安装在任何设备上，如果在 Visual Studio 2019 中用于 hello world 驱动程序，请使用原始驱动程序？
创建驱动程序时出错。设备驱动程序未安装在任何设备上，如果提供，请使用原始驱动程序
解决方案建议删除 INF 文件或制造商部分。我正在尝试为虚拟打印机设置驱动程序（不能是原始驱动程序），因此必须生成安全证书（必须存在 INF）并且证书必须有制造商。

xdsmpl.inf：

输出：