内核模式代码签名

Question

我做了一个驱动程序，现在我需要签名。它在内核模式下运行。

根据我在 Microsoft 的 内核模式代码签名演练，我必须从商业 CA 购买软件发行商证书。在该文档中，他们说要查看末尾，然后按照此链接< /a> 获取我可以购买该证书的 CA 列表。我发现该链接非常令人困惑，因为我无法确切地弄清楚我需要购买什么证书。我需要对驱动程序进行签名，以便它可以安装在 64 位 Windows 系统上。非常欢迎直接链接（我想从 GlobalSign 购买）。

是来自此处的 Microsoft Authenticode 吗？

Answer 1

我前段时间在微软驱动开发者论坛上问过类似的问题。这是他们的答案：

您需要让您的公司从 GlobalSign 或 VeriSign 获得代码签名证书（不再提供该链接中列出的其他证书）。 GlobalSign 更便宜，但 Verisign 的优势在于可以提供 WHQL 访问权限（如果您的公司对此感兴趣）。这些并不便宜，Verisign 证书每年的费用为 499 美元。一旦你有
您可以使用该证书代替测试证书来签署驱动程序。

您的链接在支持的平台中包含此信息：通过 Authenticode 对 Windows ActiveX 控件进行数字签名（32 位和 64 位）位 .exe、.ocx、.dll 或其他）和 Windows 内核软件。兼容 Windows 7。

看来您来对地方了。

准确的说：我还没有使用过代码认证，我刚刚学习。我建议您在 osronline 或 Microsoft 驱动程序开发人员论坛中验证此答案。

Answer 2

查看 https://www.startssl.com/?app=40 - StartSSL 提供此类证书价格为 199.00 美元

交叉签名的 CA 证书位于 https://www.startssl.com/certs/< /a> 命名为 microsoft.kernel.mode.pem 或 microsoft.kernel.mode.crt

Answer 3

您可以从 Digicert 购买签名。

Digicert 将颁发 zip 文件中的交叉签名证书。解压它
DigiCert 高保证 EV 根 CA.crt

双击它并将其添加到您的 IE 个人存储

使用 IE，将证书和密码导出到 .pfx 文件 对

驱动程序进行签名的命令是

signtool sign /t http://timestamp.digicert.com /f ".pfx 文件路径" /p PASSWORD_OF_PFX "驱动程序 .cat 文件路径"

您可以使用相同的命令来签署 .exe 文件
signtool sign /t http://timestamp.digicert.com /f ".pfx 文件路径" /p PASSWORD_OF_PFX “驱动程序 .exe 文件的路径”

确保该计算机可以访问互联网，否则签名过程将失败。