Firma del controlador Thawte para Windows de 64 bits

Si esta pregunta está fuera de tema, recomiende otro sitio de StackExchange para publicar esto :-)

Nuestra empresa compró recientemente el certificado de firma de código G2 de Thawte. Realicé todos los pasos necesarios para firmar un controlador de 64 bits, por lo que se puede instalar en Windows 7 de 64 bits.

Es decir, tengo:

  • descargó un certificado cruzado G2 Thawte
  • obtuve nuestro propio certificado Thawte (en realidad, un archivo .p12 que tuve que importar y volver a exportar como archivo .pfx para que funcionara)
  • firmó con éxito el controlador a través del siguiente comando: signtool.exe sign /ac cross.cer /f private_key.pfx /p ***** /t "http://timestamp.verisign.com/scripts/timstamp.dll" /v my_driver.sys
  • importó el certificado de nuestra empresa (e incluso todos esos certificados de Thawte cuando el primero no funcionó) en las autoridades raíz de confianza y los editores de confianza de la máquina
  • certificado cruzado de thawte importado en las autoridades de certificación intermedias

He intentado verificar la firma usando signtool.exe verificar /pa /v my_driver.sys, que ha pasado. Si no uso /pa en la línea de comando, diría "Error de SignTool: una cadena de certificados procesada, pero terminada en un certificado raíz en el que el proveedor de confianza no confía". (¿Es algo por lo que debería estar preocupado?)

Ahora, cuando intento instalar el controlador usando un archivo INF simple (no un archivo cab), el resultado es una advertencia roja sobre Windows que no puede verificar el emisor del controlador. Cuando elijo no instalar el controlador, recibo el siguiente mensaje adicional: No se pudo verificar un archivo porque no tiene un catálogo asociado firmado a través de Authenticode(tm).

He leído que Thawte realmente no se podía usar para firmar controladores como este en el pasado porque de alguna manera MS se detuvo para admitirlo, pero aún incluye un certificado cruzado en su sitio web. No estoy seguro de si esto sigue siendo válido, no puedo encontrar ninguna prueba de ello.

Cualquier consejo sería muy apreciado.

preguntado el 03 de mayo de 12 a las 15:05

Elija solo un sitio SE. Pida que se migre la pregunta si es necesario. seguridad.stackexchange.com/q/14568/2435 -

¿Hay alguna forma oficial de pedir la migración? No pude multar a uno... -

¿Tienes instalado el certificado cruzado Thawte? ver msdn.microsoft.com/en-us/windows/hardware/gg487315 -

AFAIK Verisign y GlobalSign son las únicas CA que emiten certificados, utilizables para la firma de controladores (es decir, se proporciona el certificado cruzado para ellos). -

Eugene, ¿de dónde viene tu información, por favor? Me gustaría ver alguna fuente de esto, ya que lo escuché yo mismo pero parece que no puedo encontrar ninguna prueba ... y sí, tengo el certificado cruzado instalado -

1 Respuestas

Necesitas agregar un CatalogFile referencia a su archivo inf, ejecute Inf2Cat.exe (en el DDK) para generar el archivo cat, luego use signtool.exe para firmar eso también.

contestado el 03 de mayo de 12 a las 16:05

Lo intentaré a primera hora de la mañana y veré si funciona... gracias :) - Escritor Zathrus

Sin embargo, estoy usando un certificado GlobalSign: PhilMY

¿Dónde consigo inf2cat.exe por favor? Intenté buscar en Google y nada parece decirme de qué forma parte este archivo: Escritor Zathrus

no importa, lo he encontrado... aunque me requirió pasar por un registro de Microsoft innecesariamente, así que aquí hay un enlace para el resto de nosotros: microsoft.com/en-us/download/… - Escritor Zathrus

¡funcionó! eres mi héroe personal, un millón de gracias... No me habría dado cuenta de esto por mi cuenta, y NINGUNO de los sitios web que estudié mencionó este requisito... ¡gracias de nuevo! - Escritor Zathrus

No es la respuesta que estás buscando? Examinar otras preguntas etiquetadas or haz tu propia pregunta.