Вопрос по подписанию драйверов в W7 x64

[bigcrown]

Кратко. Задача. Подписать неподписанный драйвер, чтобы он работал в Win 7 x64. Не использовать патчи системных файлов винды, кнопку F8 при загрузке, или тестовый (TESTSIGNING ON) режим.

Дополнение: работа драйвера требуется только на ОДНОЙ КОНКРЕТНОЙ машине.

Варианты решения: подписание цепочкой сертификатов (в этом надо разобраться).

[bigcrown]

немного экскурса в историю решения проблемы:

"Расскажите, будьте так добры, как запустить самоподписанный драйвер, не активируя тестовый режим (т.е. не используя команду bcdedit.exe /set testsigning on, которая помимо включения режима доверия к самоподписанным драйверам заодно отключает некоторые функции по управлению цифровым контентом).
Для информации: сделать доверенным свой сертификат невозможно, т.к. его для этого требуется подписать кросс-сертификатом от MS или чьим-нибудь ещё, чтобы выстроилась цепочка сертификатов. Даже если принудительно добавите сертификат в качестве корневого, при попытке использовать его для драйверов система пошлёт Вас куда подальше (несмотря на то, что в свойствах драйвера будет говориться, что сертификат совершенно валиден)."

"То что сделать свой сертификат доверенным невозможно — это вы уже очевидную ерунду говорите. Это же ваш компьютер в конце концов :) Любой админ поднимавший свой CA это знает и для этого не надо быть низкоуровневым разработчиком.
Вам нужно добавить корневой сертификат CA в TRCA, и скорее всего еще нужен сертификат которым производилась подпись (или достаточно опять сертификата CA) в Trusted Publishers.
Всё это разумеется надо делать в хранилище сертификатов компьютера, а не пользователя.
Я, честно говоря, действительно не загружал таким образом самоподписанные драйверы самостоятельно (я не разработчик, обычно использую PKI для других целей), но мнению того MVP который мне об этом сообщал, склонен доверять, тем более что его компания использует (или использовала) такой подход для своего ПО."

"Да, я лично это попробовал, причём первым же делом, как только столкнулся с проблемой необходимости наличия ЦП у драйверов. Если просто подписать драйвер сгенерированной тестовой подписью, то винда говорит, что подпись невалидна, и драйвер не грузит. Если добавить свой сертификат в корневое хранилище, то винда утверждает, что подпись полноценная, доверенная, и вообще вся из себя самая что ни на есть настоящая, но несмотря на это запускать драйвер по-прежнему упорно отказывается."

"Я не увидел у вас в ответе подтверждений что вы делали именно как я сказал, так что извините, но некоторые вопросы задам снова:
Как генерировали сертификаты?
Какие опции включены в Key Usage у подписывающего сертификата?
Точно ли все операции производились с хранилищем компьютера, а не пользователя?
В TRCA надо добавлять сертификат с публичным ключом CA, а не тот которым подписываем драйвер. Так и делали?
В TP надо добавлять либо сертификат с публичным ключом CA, либо непосредственно тот которым подписываем. Не уверен, так что для эксперимента лучше добавить оба."

[bigcrown]

Лично я тоже 2 раза проверял работу самоподписанного драйвера. НЕ РАБОТАЕТ в нормальном режиме. Это было в 2011 году и сейчас, когда я опять вернулся к этой проблеме.

[500mhz]

купить за 100 баксов на год не?

[DarthTon]

Цепочка сертификатов должна уходить рутом в доверенный сертификат МС (для этого и нужен кросс-сертификат при подписи релизной версии). Список паблик ключей доверенных корневых сертификатов жестко прибит гвоздями внутри ci.dll. Так что наиболее реалистичный вариант - купить самый дешевый сертификат, как сказал 500mhz.

[rtkm]

Только покупка, но и их быстро отзывают если что. ( тобишь сертефикаты анулируют )

[bigcrown]

Всем спасибо за ответы.

500mhz, а где такая цена? Правда сейчас рубль упал...
Сорри за нубский вопрос, покупаю на год, подписываю. Драйвер будет работать пожизненно? Это через год я не смогу подписывать этот или другой драйвер. Я правильно понимаю?

DarthTon, а если-таки с патчем ОС? Делал кто-нибудь? Для себя ведь делаю.

rtkm, ну аннулируют, если там злонамеренное использование... Мне для дров на ТВ-тюнер и DVB-карту.
Опять же - могу никому не светить. Хотя почему и не поделиться?

А вариант - попросить подписать кого-нибудь, никто так не делал?