問題タブ [driver-signing]

プリンター用のドライバーを開発し、WHQL 署名の提出を準備しています。

失敗した WHQL テストが 1 つあります - タスク「埋め込み署名テストの実行」の成功/失敗を判断できませんでした

テストのリンク: http://msdn.microsoft.com/en-us/library/windows/hardware/jj124852.aspx

これは埋め込み署名のテストです。ドライバが署名されるまで失敗するのでしょうか?

ログは以下のとおりです。

このリンクの手順を使用して署名されたドライバーがあります: http://technet.microsoft.com/en-us/library/dd919238(v=ws.10).aspx

このドライバーを Windows 8.1 にインストールしようとすると失敗します。ドライバは、他のすべてのオペレーティング システムにインストールできます。

コンピューターを再起動し、ドライバー署名の強制を無効にしてドライバーのインストールを開始すると、ドライバーの発行元が不明であるというメッセージが表示され、インストールを続行するかどうかを尋ねられます。インストールを選択すると、ドライバは Windows 8.1 にインストールされます。したがって、問題は、私が推測するドライバーの署名にあるに違いありません。

リンクから取得：「Windowsは、コンピューターごとの信頼されたルート証明機関ストア内の信頼された証明書に対して証明書を検証できないため、ドライバーは「信頼されていません」とマークされています」.

このドライバーは顧客のマシンで実行することを意図しているため、この問題は非常に厄介です。

だから：ドライバーを「信頼済み」としてマークすると、この問題は解決しますか？または、誰かがこの問題のより簡単な回避策を知っていますか?

こんにちは、いくつかのボードをコンピューターに接続しようとしています。これらのボードは、concole に入るために RNDIS ドライバーに依存しています。そのため、ボードを初めて接続すると、Win7 ラップトップはそれを RNDIS イーサネット アダプターまたはデバイスとして適切に検出します。しかし、ボードを 2 回目に接続すると、デバイス マネージャーの USB セクションに不明なデバイスとして表示されます。Web を検索すると、何かが RNDIS で失敗すると思います。http://www.sharpduino.com/en/articles/article/19そのため、ドライバーを手動でインストールするように提案されている場所を使用して、ドライバーを手動でインストールしようとしNetwork Adapters > Microsoft Corporation > RNDISます。しかし、ここでドライバーセットアップの Microsoft Corporation フォルダー全体が欠落しているという問題があります。なぜそうなのかについて、私はウェブ上で何の助けも得ていません。

そして、この問題は 1 つのボードだけでなく、他のボードにもあります。今まで使っていたボードはIntel Edison、Arietta G25。

インターネットに接続されていない、所有している 1 台のコンピューター (デジタル証明書を追加できる可能性あり) でドライバーを実行する必要があります。

Microsoft は、ドライバー署名ポリシーの詳細な表で、セキュア ブートが無効になっている場合、すべての信頼できるパーティで 64 ビット ドライバーに署名できると述べています。

ただし、公開リリース用のドライバーの署名ページでは、非常に特定の関係者とのみ署名できるようです。ここでの「リリース」の定義は私に関係がありますか? 私が所有する特定のマシンにドライバーをインストールしていて、全世界にリリースしていません。

さらに、Windows のドライバー署名要件(更新されているかどうかはわかりません) には、「コンポーネントは、Windows が "信頼する" 証明書によって署名する必要がある」と記載されています。どういう意味ですか？Microsoft のルート認定ドライバーのみが含まれていますか、それともローカル マシンが認識している証明書のみが含まれていますか?

では、テスト用の自己署名証明書ではなく、自分のマシンでドライバーを実行したい場合の正確な要件は何ですか?

Windows がセキュリティ ポリシーを変更したため、SHA-1 の代わりに SHA-256 アルゴリズムを使用してドライバー ファイルのコード署名を開始する予定です。ただし、依然として SHA-1 署名が必要な古い OS をサポートできるようにしたいと考えています。

Microsoftsigntool.exeを使用すると、/fd フラグを使用して、SHA-1 および SHA-256 ダイジェスト アルゴリズムの両方で署名ファイルを正常にコーディングできます。ただし、可能であれば、両方のアルゴリズムで同時にファイルに署名したいと考えています。これは可能ですか？異なるアルゴリズムで署名されたドライバーの複数のセットを持ち、OS に基づいてインストールするセットを決定することは避けたいと考えています。これは私たちの代替アプローチです。

誰かがこれを達成した経験がある場合は、どのようなアプローチをとったかを説明してください. これが不可能な場合は、不可能な理由の説明をいただければ幸いです。

C# で記述された小さなアプリがあり、署名のために Microsoft に送信される前に *.hckx ファイルに署名するために使用します。

アプリケーション コードは +/- 次のようになります。

そのコードは、以前の「通常の」証明書で機能します。

新しい EV 証明書では、証明書への PIN を要求する追加のウィンドウが表示されます。

質問は次のとおりです。プログラムで EV 証明書を使用して完全な署名を作成できるインターフェイス/クラスはありますか?

PIN をパラメーターとして提供する可能性がある PackageManager.Sign メソッドを期待します。