windows-7 - Windows Vista / 7 (32 ビットおよび 64 ビット) 用のデバイス ドライバーの署名を取得するには、何をしなければなりませんか? また、どのくらいの費用がかかりますか?

Question

製品/ベンダーIDとハードウェアを説明する文字列を説明する新しい.infファイルを備えた、基本的にLibUSB-Win32であるドライバーがいくつかあります。これは 32 ビット Windows では問題なく動作しますが、64 ビット バージョンには問題があります。つまり、Microsoft の知恵では、すべてのドライバーにデジタル署名が必要です。

したがって、私の質問は次のとおりです。

1. 使用できる署名済みの LibUSB-Win32 ドライバーのバージョンはありますか?
2. 共食いできる署名済みのものがまだない場合、ドライバーに署名するには正確に何をしなければなりませんか。
3. 64 ビット版と 32 ビット版を別々に署名する必要がありますか? また、費用はかかりますか?
4. これは、署名を取得する代わりに無料で利用できますか?
5. 顧客がマシンを起動するたびにテストモードで起動することを要求する以外に、考慮すべき他のオプションはありますか(私が検討するオプションではありません)。
6. Verisign 以外にコード署名のオプションはありますか? 明らかに、 OpenIDのような無料/オープン ソースのイニシアチブは素晴らしいものになるでしょう ;-)

Answer 1

There are two separate issues at hand:

1. Signing the image file (i.e. the driver.sys file) to satisfy Kernel Mode Code Signing (KMCS)
2. Signing the driver package to satisfy driver installation (i.e. the driver.cat file).

If you take an existing driver signed by another entity (be it Microsoft's WinUSB or libusb-win32), that'll satisfy KMCS.

As to driver installation, you'd need your own Code Signing Certificate to sign a .cat file, which verifies that your .inf and the files it refers to (e.g. your .sys files) were not modified and truly come from you. It's somewhat less of a problem, since unlike KMCS (which stops your driver from loading), it won't prevent your driver from being installed but just present a warning to the user.

A Code Signing Certificate (make sure it supports KMCS!) will cost you hundreds of USD, depends on the CA you choose. Some might have plans which allow you to pay per signing event rather then globally per year. If you don't need to release many versions, this might be cheaper for you.

Answer 2

libusb のlibusb-winusbバージョンを試してみると、winusb ドライバー (署名済みの MS バイナリであるため、自分で行う必要はありません) に関する既存の機能のほとんどを実装しようとすることで回避できる場合があります。ただし、winusb としての YMMV は、libusb で必要なすべての機能に 100% マップされるわけではありません。

Answer 3

私の調査によると、デバイス ドライバーの署名にかかる費用はわずか 266 米ドルです。私の理解では、ドライバーの署名を取得できるのは会社だけです。彼らは個人のためにそれをしません。

参考：CERTUMコードサイニング証明書

Answer 4

署名されていないドライバーを無視するこのチュートリアルを使用できます。400 米ドル程度の費用がかかるため、支払いたくないと思います。

その他のチュートリアルはこちら

管理者として CMD を実行し、次を実行することもできます。

bcdedit.exe -set loadoptions DDISABLE_INTEGRITY_CHECKS
bcdedit.exe -set TESTSIGNING ON