Firma de Controladores en Modo Kernel: Windows 7 y 8
5 ago 2022
Firma de Controladores en Modo Kernel: Windows 7 y 8
Notas:
- Windows 7 ha sido parcheado recientemente por Microsoft para admitir firmas SHA256. Para el certificado de firma de código EV, consulte esta guía.
- A partir del 26 de enero de 2021, GlobalSign ya no ofrecerá los servicios SHA-1 Authenticode y CodeSign Timestamping.
Prerrequisitos:
- Certificado de Firma de Código de GlobalSign
- Kit de desarrollo de software de Windows (SDK) para Windows 8.1
- Certificados cruzado (s):
- Los pedidos SHA-256 también utilizan el certificado cruzado R1-R3 – predeterminado el 31 de marzo de 2014 y después. (El certificado cruzado R1-R3 deberá instalarse en el equipo firmante, pero no especificarse como un certificado adicional durante el procedimiento de firma)
Opciones importantes de SignTool:
- /ac Especifique un certificado adicional.
- /f Especifique el certificado de firma en un archivo.
- /p Especifique la contraseña para el certificado de firma.
- /fd Especifique el algoritmo de resumen de archivo utilizado en la creación de firmas de archivo.
- e.g. /fd sha256 para colocar una firma SHA256 (SHA1 es el valor predeterminado).
- /n "Nombre común del certificado" Especifica el certificado para firmar el archivo desde el Almacén de certificados de Windows con el nombre común del certificado.
- /t Especifique un servidor de sello de tiempo compatible con Microsoft Authenticode.
- /tr Especifique un servidor de sello de tiempo confiable de conformidad con RFC 3161.
Procedimiento:
Puede ver el vídeo tutorial (en inglés) a continuación:
O puede revisar el paso a paso a continuación:
- Para que su controlador se instale satisfactoriamente, se deben firmar los siguientes tipos de archivos en su proyecto:
- .sys
- .cat
- Puede cerrar la sesión de estos archivos en un directorio de trabajo o colocarlos en la carpeta Windows SDK\bin.
- Adquiera el Certificado Cruzado de Firma de Código de Microsoft para GlobalSign y colóquelo en su directorio de trabajo.
- Use el siguiente comando signtool para firmar el código:
signtool sign /ac MSCrossCert.crt /f CodeSign.pfx /p password1234 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sys
Este código colocará una firma que incluye el certificado cruzado, que tiene una marca de tiempo de conformidad con RFC 3161. - A continuación, verifique su firma mediante el siguiente comando signtool.
verify -v -kp-v es para una salida detallada y -kp la valida de acuerdo con los criterios de firma del controlador en modo kernel.
El resultado debería verse así:
- Repita el mismo proceso con el archivo .cat.
- Una vez que se ha firmado el controlador, puede instalar el controlador firmado correctamente.
Si el controlador está firmado correctamente, la pantalla de instalación se verá así (Windows 7):
Recursos adicionales:
Lista completa de comandos de SignTool:
http://msdn.microsoft.com/en-us/library/8s9b9yaz%28v=vs.110%29.aspx
Tutorial de firma de código en modo kernel:
http://msdn.microsoft.com/en-us/windows/hardware/gg487328.aspx
Firmas digitales para módulos de kernel en Windows:
http://msdn.microsoft.com/en-us/library/windows/hardware/gg487332.aspx
Related Articles
Atlas Discovery
Escanee sus puntos finales (endpoints) para localizar todos sus Certificados.
RegistrarsePrueba de Configuración para SSL
Verifique la instalación de su certificado para detectar problemas y vulnerabilidades de SSL.