21 апр. 2025 г.

Как подписать драйвер режима ядра в Windows с помощью сертификата подписи кода GlobalSign

Примечания: 

• Windows 7 недавно была исправлена компанией Microsoft для поддержки подписей SHA256. Для получения сертификата подписи кода EV, пожалуйста, ознакомьтесь с этим руководством. 

• Начиная с 26 января 2021 года, GlobalSign больше не будет предлагать услуги SHA-1 Authenticode и CodeSign Timestamping. 

Необходимые условия 

• Сертификат подписи кода GlobalSign 

• Комплект средств разработки программного обеспечения (SDK) для Windows 8.1 

• Перекрестный сертификат: 

• SHA-256 В заказах дополнительно используется кросс-сертификат R1-R3 - по умолчанию с 31 марта 2014 года и позже. (Кросс-сертификат R1-R3 должен быть установлен на подписывающем компьютере, но не указан в качестве дополнительного сертификата во время процедуры подписания) 

Важные параметры SignTool: 

• /ac Указать дополнительный сертификат. 

• /f Указать сертификат подписи в файле. 

• /p Указать пароль для сертификата подписи. 

• /fd Укажите алгоритм файлового дайджеста, используемый при создании подписей файлов. 

• Например, /fd sha256 для установки подписи SHA256 (по умолчанию используется SHA1). 

• /n «Общее имя сертификата» Укажите сертификат для подписи файла из хранилища сертификатов Windows, используя общее имя сертификата. 

• /t Укажите сервер штампов времени, совместимый с Microsoft Authenticode. 

• /tr Укажите доверенный сервер штампов времени, совместимый с RFC 3161. 

Процедура 

Вы можете посмотреть видео ниже для ознакомления с инструкцией. 

Также вы можете ознакомиться с пошаговыми инструкциями, приведенными ниже.  

 

1. Для успешной установки драйвера необходимо, чтобы следующие типы файлов в проекте были подписаны: 
   • .sys
   • .cat
2. Вы можете подписать эти файлы либо вне рабочего каталога, либо поместить их в папку Windows SDK\bin. 
3. Приобретите кросс-сертификат Microsoft Code Signing Cross Certificate для GlobalSign и поместите его в рабочий каталог. 

4. Для подписи кода используйте следующую команду signtool: ​​​​​​​

   signtool sign /ac MSCrossCert.crt /f CodeSign.pfx /p password1234 /tr http://timestamp.globalsign.com/tsa/r6advanced1 filter.sys 

   Этот код поместит подпись, включающую кросс-сертификат, с временной меткой в соответствии с RFC 3161. 

5. Далее проверьте подпись с помощью следующей команды signtool. ​​​​​​​

   signtool verify /v /kp 

   Параметр -v предназначен для вывода подробной информации, а параметр -kp проверяет ее в соответствии с критериями подписи драйверов режима ядра. 

   Вывод должен выглядеть следующим образом: 
   
   

6. Повторите тот же процесс с файлом .cat. 

7. После того как драйвер подписан, вы можете установить правильно подписанный драйвер. 
   Если драйвер подписан правильно, экран установки будет выглядеть следующим образом (Windows 7): ​​​​​​​
   
   

Дополнительные ресурсы 

Полный список команд SignTool: 
http://msdn.microsoft.com/en-us/library/8s9b9yaz%28v=vs.110%29.aspx 

Руководство по подписанию кода в режиме ядра: 
http://msdn.microsoft.com/en-us/windows/hardware/gg487328.aspx 

Цифровые подписи для модулей ядра в Windows: 
http://msdn.microsoft.com/en-us/library/windows/hardware/gg487332.aspx