2. 질의 응답
  3. 크로스 서명 체인에 Microsoft가 포함되어 있지 않으므로 드라이버 설치가 실패 함

크로스 서명 체인에 Microsoft가 포함되어 있지 않으므로 드라이버 설치가 실패 함

2011-08-31 2 views
5

서명 인증서 체인에 "Microsoft Code Verification Root"가없는 이유를 알고 계십니까?크로스 서명 체인에 Microsoft가 포함되어 있지 않으므로 드라이버 설치가 실패 함

최근에 두 도메인간에 빌드 시스템을 이동하고 certs를 다시 설치해야했습니다. 우리는 설치 과정에서 Microsoft가 체인에 없기 때문에 커널 드라이버 거부를 야기하는 서명 문제가 있음을 발견했습니다. 신뢰할 수있는 게시자 : 인증서

  • 클래스 3 공용 기본 인증 ..
  • 베리사인 3 등급 코드 서명 ...

우리는 우리가 2 개의 추가 certmgr에서 인증서 표시를 한 것으로 나타났습니다 비활성화 클래스 3 공용 기본 인증 "문제"가 사라졌으며 Microsoft에 적절한 서명 체인이 있습니다.

클래스 3 공용 기본 인증이 설치되어 있거나 사용하고 있으며 우리가 직면 할 수있는 영향을 테스트하는 방법을 모르겠습니다.

이런 종류의 문제가있는 사람이 있습니까? 어떻게 접근 했습니까? 커맨드 라인에서 class-3의 사용을 불가능하게하는 방법이있어서 certmgr 설정을 그대로 두어 위험을 줄일 수 있습니까? 도움을

감사

피터

로그인 명령

signtool.exe sign /v /ac MSCV-VSClass3.cer /s TrustedPublisher /n "My Corp" /t http://timestamp.verisign.com/scripts/timstamp.dll mydriver.sys

이 확인 SignTool에서 서명 검증/KP/V의 mydriver.sys

*** Signing Certificate Chain: 
*** Issued to: Class 3 Public Primary Certification Authority 
*** Issued by: Class 3 Public Primary Certification Authority 
*** Expires: 8/2/2028 7:59:59 PM 
*** SHA1 hash: xxxxxxxxxxxxxxxxxx 

    Issued to: VeriSign Class 3 Code Signing 2009-2 CA 
    Issued by: Class 3 Public Primary Certification Authority 
    Expires: 5/20/2019 7:59:59 PM 
    SHA1 hash: xxxxxxxxxxxxxxxxxx 

     Issued to: My Corp 
     Issued by: VeriSign Class 3 Code Signing 2009-2 CA 
     Expires: 9/10/2013 8:59:59 PM 
     SHA1 hash: xxxxxxxxxxxxxxxxxx

출처

2011-08-31 Peter Kahn

+0

안녕 로그, 당신은 오래 전에이 질문을하지만, 여전히 마이크로 소프트 윈도우 (10) 내가없는 많은이있는 공식 문서를 다음과 같은 몇 가지 문제에 봉착하기위한 드라이버 서명 다루고 있는지 궁금해 세부. 아마도 내 질문은 https://msdn.microsoft.com/en-us/library/windows/hardware/dn800660(v=vs.85).aspx에서 참조 할 수 있습니다. 덕분에 – Zohar81

+0

미안하지만 이것은 적어도 직업이었습니다. 아래의 답변이 도움이 될 수 있습니다. 전체 과정은 까다 롭습니다. 아마도 최신 ide에는 명령을 추출 할 수있는 내장 옵션이있을 것입니다. –

답변

4

이론 상으로는 인증서와 일치하는 버전의 교차 서명 인증서를 설치할 수 있으며 signtool이 자동으로 사용합니다. 그러나 이로 인해 교차 서명에 잘못된 인증서가 사용 될 수 있습니다. 명시 적 인

SignTool.exe sign /v /s trustedpublisher /ac path-to-retrieved-cert\MSCV-VSClass3.cer /n myCertName /t http://timestamp.verisign.com/scripts/timestamp.dll driver-file-to-sign

  • 에 서명 할 때 명시해야합니다

SignTool.exe verify /kp /v drive-file-to-check

또는 당신이있는 경우 확인 카타로그 파일

SignTool.exe verify /kp /v /c driver-cat-file.cat drive-sys-file.sys

출처

2012-01-20 16:44:46

0

우리는 두 가지 빌드 시스템을 비교했으며 잘못된 시스템에 대한 certmgr 신뢰할 수있는 게시자 목록에 추가 클래스 3 공용 기본 인증서를 발견했습니다. 이것은 체인의 최상위 레벨과 일치합니다. 우리는이 게시를 비활성화하고 체인의 상단을 Microsoft에 복원했습니다.

그래도 질문이 있지만 다른 빌드에는 영향을 미치지 않아 문제가 해결 된 것으로 보입니다.

출처

2011-10-06 20:42:31

관련 문제

 관련 문제