+ Reply to Thread
Results 1 to 7 of 7

Thread: Вопрос по подписанию драйверов в W7 x64

  1. #1

    Exclamation Вопрос по подписанию драйверов в W7 x64

    Кратко. Задача. Подписать неподписанный драйвер, чтобы он работал в Win 7 x64. Не использовать патчи системных файлов винды, кнопку F8 при загрузке, или тестовый (TESTSIGNING ON) режим.

    Дополнение: работа драйвера требуется только на ОДНОЙ КОНКРЕТНОЙ машине.

    Варианты решения: подписание цепочкой сертификатов (в этом надо разобраться).

  2. #2

    Default Re: Вопрос по подписанию драйверов в W7 x64

    немного экскурса в историю решения проблемы:

    "Расскажите, будьте так добры, как запустить самоподписанный драйвер, не активируя тестовый режим (т.е. не используя команду bcdedit.exe /set testsigning on, которая помимо включения режима доверия к самоподписанным драйверам заодно отключает некоторые функции по управлению цифровым контентом).
    Для информации: сделать доверенным свой сертификат невозможно, т.к. его для этого требуется подписать кросс-сертификатом от MS или чьим-нибудь ещё, чтобы выстроилась цепочка сертификатов. Даже если принудительно добавите сертификат в качестве корневого, при попытке использовать его для драйверов система пошлёт Вас куда подальше (несмотря на то, что в свойствах драйвера будет говориться, что сертификат совершенно валиден)."

    "То что сделать свой сертификат доверенным невозможно — это вы уже очевидную ерунду говорите. Это же ваш компьютер в конце концов :) Любой админ поднимавший свой CA это знает и для этого не надо быть низкоуровневым разработчиком.
    Вам нужно добавить корневой сертификат CA в TRCA, и скорее всего еще нужен сертификат которым производилась подпись (или достаточно опять сертификата CA) в Trusted Publishers.
    Всё это разумеется надо делать в хранилище сертификатов компьютера, а не пользователя.
    Я, честно говоря, действительно не загружал таким образом самоподписанные драйверы самостоятельно (я не разработчик, обычно использую PKI для других целей), но мнению того MVP который мне об этом сообщал, склонен доверять, тем более что его компания использует (или использовала) такой подход для своего ПО."

    "Да, я лично это попробовал, причём первым же делом, как только столкнулся с проблемой необходимости наличия ЦП у драйверов. Если просто подписать драйвер сгенерированной тестовой подписью, то винда говорит, что подпись невалидна, и драйвер не грузит. Если добавить свой сертификат в корневое хранилище, то винда утверждает, что подпись полноценная, доверенная, и вообще вся из себя самая что ни на есть настоящая, но несмотря на это запускать драйвер по-прежнему упорно отказывается."

    "Я не увидел у вас в ответе подтверждений что вы делали именно как я сказал, так что извините, но некоторые вопросы задам снова:
    Как генерировали сертификаты?
    Какие опции включены в Key Usage у подписывающего сертификата?
    Точно ли все операции производились с хранилищем компьютера, а не пользователя?
    В TRCA надо добавлять сертификат с публичным ключом CA, а не тот которым подписываем драйвер. Так и делали?
    В TP надо добавлять либо сертификат с публичным ключом CA, либо непосредственно тот которым подписываем. Не уверен, так что для эксперимента лучше добавить оба."

  3. #3

    Default Re: Вопрос по подписанию драйверов в W7 x64

    Лично я тоже 2 раза проверял работу самоподписанного драйвера. НЕ РАБОТАЕТ в нормальном режиме. Это было в 2011 году и сейчас, когда я опять вернулся к этой проблеме.

  4. #4
    500mhz's Avatar

    Default Re: Вопрос по подписанию драйверов в W7 x64

    купить за 100 баксов на год не?

  5. #5

    Default Re: Вопрос по подписанию драйверов в W7 x64

    Цепочка сертификатов должна уходить рутом в доверенный сертификат МС (для этого и нужен кросс-сертификат при подписи релизной версии). Список паблик ключей доверенных корневых сертификатов жестко прибит гвоздями внутри ci.dll. Так что наиболее реалистичный вариант - купить самый дешевый сертификат, как сказал 500mhz.

  6. #6
    rtkm's Avatar

    Default Re: Вопрос по подписанию драйверов в W7 x64

    Только покупка, но и их быстро отзывают если что. ( тобишь сертефикаты анулируют )
    Invia virtuti nulla est via.

  7. #7

    Default Re: Вопрос по подписанию драйверов в W7 x64

    Всем спасибо за ответы.

    500mhz, а где такая цена? Правда сейчас рубль упал...
    Сорри за нубский вопрос, покупаю на год, подписываю. Драйвер будет работать пожизненно? Это через год я не смогу подписывать этот или другой драйвер. Я правильно понимаю?

    DarthTon, а если-таки с патчем ОС? Делал кто-нибудь? Для себя ведь делаю.

    rtkm, ну аннулируют, если там злонамеренное использование... Мне для дров на ТВ-тюнер и DVB-карту.
    Опять же - могу никому не светить. Хотя почему и не поделиться?

    А вариант - попросить подписать кого-нибудь, никто так не делал?

+ Reply to Thread

Tags for this Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
All times are GMT. The time now is 01:29
vBulletin® Copyright ©2000 - 2018
www.reverse4you.org