独自の CA をルートとする証明書を使用して Windows Vista (およびそれ以降) のドライバに署名し、特定の証明書またはそれがルートとなる CAがテスト署名モードを有効にせずにロードしても問題ないことを Windows に認識させるにはどうすればよいですか( bcdedit -set TESTSIGNING ON)。
根拠:テスト署名を有効にするということは、あらゆるものに対してグローバルに有効にすることを意味します。私はそれをしたくありません。何を実行するかをきめ細かく制御したい。ドライバーは幅広い用途を想定していないため、テスト署名をグローバルに有効にすることで、セキュリティ対策に大きな穴を開けたくありません。私の知る限り、テスト署名は基本的に、ドライバーが署名されているかどうかのチェックに要約されます (証明書チェーンが Windows カーネルで問題ないかどうかではありません)。
注:カーネル モード コード署名ポリシーとその落とし穴については認識しています。また、テスト署名などを使用してドライバーをテストする方法についても認識しているため、これらを指摘する必要はありません。実際、私はそれらのことをしました。私が本当に興味を持っているのは、それで署名されたドライバーを実行できるようにするために、自分の証明書またはそれがルートになっている CA を登録することだけです。ローカル システムの証明書ストア (レジストリの一部である AFAIR) は、起動プロセスの早い段階で利用できないか、チェックされていないようです。