Firma de Drivers en Modo Kernel: Windows 7 y 8
5 sept. 2022
Firma de Drivers en Modo Kernel: Windows 7 y 8
Notas:
- Windows 7 ha sido parchado recientemente por Microsoft para admitir firmas SHA256. Para el certificado de firma de código EV, consulte esta guía.
- A partir del 26 de enero de 2021, GlobalSign ya no ofrecerá los servicios SHA-1 Authenticode y CodeSign Timestamping.
Prerrequisitos
- Certificado de Firma de Código de GlobalSign
- Kit de desarrollo de software (SDK) de Windows para Windows 8.1
- Certificado cruzado:
- Los pedidos SHA-256 también utilizan el certificado cruzado R1-R3 – predeterminado el 31 de marzo de 2014 y después. (El certificado cruzado R1-R3 deberá instalarse en el equipo firmante, pero no especificarse como un certificado adicional durante el procedimiento de firma)
Opciones Importantes de SignTool:
- /ac Especifique un certificado adicional.
- /f Especifique el certificado de firma en un archivo.
- /p Especifique la contraseña para el certificado de firma.
- /fd Especifique el algoritmo de resumen de archivos utilizado en la creación de firmas de archivos.
- Por ejemplo /fd sha256 para colocar una firma SHA256 (SHA1 por defecto).
- /n "Nombre común del certificado" Especifica el certificado para firmar el archivo desde el Almacén de certificados de Windows con el nombre común del certificado.
- /t Especifique un servidor de marca de tiempo compatible con Microsoft Authenticode.
- /tr Especifique un servidor de marca de tiempo de confianza compatible con RFC 3161.
Procedimiento
Puede ver el video a continuación (en inglés) para obtener un tutorial.
O bien, puede consultar las pautas paso a paso a continuación.
- Para que el controlador se instale correctamente, se deben firmar los siguientes tipos de archivo del proyecto:
- .sys
- .cat
- Puede cerrar la sesión de estos archivos en un directorio de trabajo o colocarlos en la carpeta Windows SDK\bin.
- Adquirir el certificado Firma Cross Code Microsoft para GlobalSign y colocarlo en su directorio de trabajo.
- Utilice el comando siguiente para signtool firmar el código:
signtool sign /ac CrossCert.crt /f CodeSign.pfx /p password1234 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sys
Este código coloca un original que incluyen el certificado cruzado, que está marcado con la fecha de acuerdo con RFC 3161. - Siguiente verificar su firma con el comando signtool siguiente.
signtool verify -v -kp
-v es para una salida detallada y kp cheques de acuerdo con criterios de canto modo de controlador del núcleo.
La salida debe ser similar a este:
- Repita el mismo proceso con el archivo de gato.
- Una vez que el conductor ha sido firmado, se puede instalar el controlador correctamente firmado.
Si el controlador está firmado correctamente la pantalla de instalación tendrá este aspecto (Windows 7):
Recursos adicionales
Lista completa de SignTool comandos:
http://msdn.microsoft.com/en-us/library/8s9b9yaz% 28v = vs.110% 29.aspx
Kernel-Mode Code Signing Tutorial:
http://msdn.microsoft.com/en-us/windows/hardware/gg487328.aspx
Las firmas digitales para los módulos del kernel en Windows:
http://msdn.microsoft.com/en-us/library/windows/hardware/gg487332.aspx
Related Articles
Atlas Discovery
Escanee sus puntos finales (endpoints) para localizar todos sus Certificados.
RegistrarsePrueba de Configuración para SSL
Verifique la instalación de su certificado para detectar problemas y vulnerabilidades de SSL.
Contacte a Soporte
Si usted es un usuario del Portal Atlas, Por favor envie su solicitud a support-atlas@globalsign.com.