Signtool 停止添加副署 - 怎么了？

Question

我最近遇到了一个非常奇怪的问题。我们产品的编译包括签署内核模式驱动程序并添加副署。这是通过调用 DDK（现在的 WDK）中包含的 Signtool 来完成的：

“%DDKBASE%\6001.18000\bin\SelfSign\signtool.exe” 符号/T http://timestamp.globalsign.com/scripts/timstamp.dll /ac “countercert\MSCV-GlobalSign.cer 路径” /s SPC /n“EldoS 公司”%1

一切都工作正常，直到最近我们发现反证书没有添加到签名的驱动程序中。 Signtool 不会报告任何错误并默默地忽略证书。签名本身和主证书链都已正确应用，只是缺少反证书。

更高版本的 WDK（版本 7600.16385.0）中的 SignTool 使用相同的命令行可以正常工作。

我尝试重新注册 capicom.dll，并附带有问题的signtool（它位于同一文件夹中），但这没有帮助。

我不确定我们是否可以使用 7600.16385.0 中的 Signtool，因为我有一种感觉，它可能会破坏与 Windows 2000 的兼容性。

所以问题是是否有人知道可能出了什么问题？

更新： 嗯，看起来 7600 Signtool 工作正常（即用该版本签名的驱动程序在 XP 和 Windows 7 上工作正常），所以我们现在就走这条路，并将用我们自己的 Signtool 替换未来自制工具可以避免此类意外。

Answer 1

使用7600.16385.0版本的signtool就可以了。它仍然可以在 Windows 2000 上运行。
至于6001.18000版本的问题，请检查您的证书存储中是否有您公司的多个证书。可能会选择错误的一个。