原文链接:https://support.sectigo.com/Com_KnowledgeDetailPage?Id=kA01N000000zFK6
如果您使用的是SHA-2证书或信任链中包含SHA-2证书,并且您正用它来签署内核模块,那么您应该需要安装 KB3033929,它是Windows安全更新系统发布的针对Windows 7更新的补丁。在没有更新的Windows 7版本上,内核会拒绝使用SHA-2的证书的签名,因此不能使用它们来加载内核模块。
为了成功安装驱动程序,必须对项目中的以下文件类型进行签名:
.sys
.cat
前提条件:
1.下载Sectigo交叉签名的CA。
[KMCS] COMODO RSA Certification Authority
或
[KMCS] AddTrust External CA Root
(用于与内核模式驱动程序签名一起使用)
2.打开Windows命令提示符(cmd),然后运行signtool.exe:
签名:
使用存储在受密码保护的PFX文件中的证书对文件进行签名
内核签名有以下两种情况:
无需时间戳:
signtool sign /v /ac ‘CROSS_SIGNED_SECTIGO_CA_HERE’ /f YOUR_PFX_HERE /p Password /n ‘Company Name’ ‘PATH_TO_FILE_TO_SIGN’
使用时间戳:
signtool sign /v /ac ‘CROSS_SIGNED_SECTIGO_CA_HERE’ /f YOUR_PFX_HERE /p Password /n ‘Company Name’ /tr http://timestamp.sectigo.com/rfc3161 ‘PATH_TO_FILE_TO_SIGN’
此命令将为程序安装一个包括交叉签名证书的签名,其中,该证书的时间戳符合RFC 3161。
注意: 公司证书名称应与颁发给您自己的证书领域的证书完全一致。
提示:
- 您可以使用以下命令来验证驱动程序文件的签名:
signtool verify /v /kp ‘PATH_TO_FILE_TO_SIGN’
- 您应使用以下命令来验证由指定目录文件签名的指定驱动程序:
signtool verify /v /kp /c ‘C:\CatFileName.cat’ ‘PATH_TO_FILE_TO_SIGN’
-v用于显示详细输出,-kp根据内核模式驱动程序签名标准对其进行验证。
3.为了减少启动时间,请对所有驱动程序和目录文件进行签名。