4

特定の状況でドライバーに署名する方法がわかりません。

OpenVPNには、tap0901.sys、tap0901.cat、およびOemWin2k.infファイルで構成されるタップドライバーがあります。

win764ビットに「devconinstallOemWin2k.inftap0901」を使用してインストールすると、恐ろしい警告なしにサイレントインストールされます。

http://community.openvpn.net/openvpnに従って、ドライバーの名前をogtap100に変更しました(ファイルの名前をogtap100.sys、ogtap100.catに変更し、OemWin2k.infの「 tap0901」文字列を「ogtap100」に置き換えました)。/wiki/ManagingWindowsTAPDriversとOemWin2k.infのコメント)。

ただし、名前を変更したドライバーで「devcon install OemWin2k.info ogtap100」を実行すると、ドライバーが不明なソースからのものであるという大きな恐ろしい警告がWindowsから表示されます。インストールしますが、アプリの一部として出荷する予定なので、大きな怖い警告は良くありません。

「signtoolverify/v ogtap100.cat」を実行すると、「SignToolエラー:証明書チェーンは処理されましたが、信頼プロバイダーによって信頼されていないルート証明書で終了しました。」というメッセージが表示されます。ルート証明書は「発行先:DigiCert High AssuranceEVRootCA」と記載されていますが。

自分の証明書(通常の.exeファイルに署名するときに機能します)を使用して再署名(signtool sign / f cert.pfx ogtap100.cat)を試みましたが、同じ恐ろしい警告が表示されます。

私は何が欠けていますか?

それはsthでありえますか。カタログ(.cat)ファイルとは?

http://msdn.microsoft.com/en-us/windows/hardware/gg463050を読みましたが、.catファイルを自分で生成することを前提としています。私はすでにOpenVPNからの.catファイルを持っています。ファイルとOewmWin2k.infの名前を変更した後、再生成する必要がありますか?はいの場合、どのように?

4

2 に答える 2

0

1) 高保証のデジサート証明書を取得したことを確認しましたか? 彼らが発行する標準のものは、ドライバー向けではありません。変更は簡単です... https://www.digicert.com/code-signing/driver-signing-in-windows-using-signtool.htm

2) Windows 7 DDK をダウンロードし、単に指示に従うのではなく、「インテントとコードを読む」ことを少し行うと、適切に名前を変更して署名した独自のドライバー (cat ファイルと sys ファイル) を作成することができます。 https://community.openvpn.net/openvpn/wiki/BuildingTapWindows

名前を変更するための強力なヒントとして生成された OemWin2k.inf を見てください。注: タイム スタンプは正確である必要があり、(とんでもない) mm/dd/yyyy 形式になっています。

3) 警告メッセージについては、少なくとも会社名を適切に表示することができ、Windows は適切に署名されたドライバーを受け入れます (無効にしません)。

于 2015-05-19T14:15:59.643 に答える
0

ドライバー署名の詳細については、 https://social.msdn.microsoft.com/Forums/windowsdesktop/en-US/0b00c9d4-dff9-4fbe-b741-768c9b39349c/practical-windows-code-and-driver-signing-を確認してください。ディスカッション?フォーラム=wdk

これは、いくつかの参照ドキュメントを指す要約です。inf から .cat ファイルを生成するのは簡単です。

構文と操作の順序を確認してください。Digicert証明書も使用しています。ドライバー署名用に発行されたものがあることを確認し、クロス証明書が正しいことを確認してください。

ビルド スクリプトは inf2cat メソッドを使用するため、全体の指示に従っている場合 (および inf が教えてくれなかった設定内のものを検索している場合... 定数を探している場合)、.cat ファイルを生成しています。

私のインストールでは、.cat を生成して署名する前に、.sys ファイルに署名する必要があると考えました。

また、PC にすべての Windows Update が適用されていることを確認してください。これは実際に、同じエラー署名を持つ PC を「修正」するために機能しました。(自動的にダウンロードされたクロス証明書を検証するために必要な証明書がありませんでした。)

于 2015-06-11T18:58:29.300 に答える