Digicert Как подписать мой драйвер, чтобы он установил на Windows 7 64-bit
digicert Как подписать мой драйвер, чтобы он установил на Windows 7 64-bit?
Содержание
- 1 digicert Как подписать мой драйвер, чтобы он установил на Windows 7 64-bit?
- 2 digicert order form (3)
- 3 Как отключить проверку цифровой подписи драйвера в Windows 7
- 4 Загрузка Windows 7 без проверки цифровой подписи
- 5 Отключаем проверку подписи драйверов в Windows 7 с помощью групповой политики
- 6 Отключаем проверку цифровой подписи драйверов в Windows 7 с помощью bcdedit
- 7 Драйвера без цифровой подписи в Windows 7
- 8 Отключение проверки цифровых подписей у драйверов в Windows 7
- 9 Как вручную подписать драйвер в Windows 7
- 10 Программа ReadyDriverPlus
- 11 Как подписать драйвер в Windows x64 10/8.1/7 с помощью самоподписанного сертификата
- 12 Утилиты, необходимые для подписывания драйвера
- 13 Создаем самоподписанный сертификат и закрытый ключ
- 14 Генерируем CAT файл драйвера
- 15 Подписываем драйвер самоподписанным сертификатом
- 16 Установка сертификата
- 17 Установка драйвера, заверенного самоподписанным сертификатом
digicert order form (3)
Два полезных ресурса для подписи драйверов
1. Получите сертификат RSA из (Digicert или Verisign или в любом месте вашего бюджета) или создайте сертификат самостоятельно, если вам нужно установить его только на свой компьютер
2. Когда у вас есть сертификат, у вас также будет закрытый ключ
3. Чтобы распространить драйвер, для которого требуется, чтобы этот сертификат был прослеживаемым, Microsoft использует систему под названием Trusted Root Certification Authority. Теперь есть другие полномочия, которые предоставляют сертификат рядом с ними, но для их проверки потребуется обновление Windows. введите certmgr.msc, чтобы получить список. Ищите те, у кого есть разрешение на подписание кода
4. Или добавьте сертификат в этот список или получите сертификат из этого списка
5.Вставьте драйвер с сертификатом [подробнее в ссылках выше]
6. Теперь раздайте драйвер
есть много учебных пособий в Интернете для подписания драйвера. NB: WHQL — это дорогой вариант, который вы можете рассмотреть, если ваша компания может заплатить
У меня есть драйвер режима ядра, и мне нужно установить t на 64-битную Windows 7. Его нужно подписать цифрой. Я подписал цифровую подпись с помощью dseo13b.exe . Но когда я загружаю драйвер, я получаю сообщение об ошибке в журнале системных событий:
Драйвер не смог запустить из-за следующей ошибки:
Windows не может проверить цифровую подпись для этого файла. Недавнее изменение в оборудовании или программном обеспечении могло установить неверный или поврежденный файл, или это может быть вредоносное программное обеспечение из неизвестного источника.
Я не хочу использовать режим тестирования. Как это разрешить? Нужно ли мне получать сертификат от Microsoft?
Я разработал драйвер, и теперь я работаю над 64-битной машиной .
Все, что вам нужно, это доверенный сертификат (подписанный Verisign , Thawte и т. Д.).
Просмотрите эти ресурсы:
Только для 64-битных построений: настройка самоподписывания
Часть 1: создание и установка тестового сертификата
- Запустите повышенную оболочку командной строки (Vista и более поздние версии).
- msgstr «
- certmgr.exe -add mytestcert.cer -s -r localMachine root
- Запустите certmgr.exe и проверьте, что «MyTestCertificate» указан как в «Личном», так и в «доверенных корневых центрах сертификации».
- Храните файл mytestcert.cer в надежном месте.
Часть 2: настройка системы для запуска тестового подписанного кода (Vista и более поздние версии)
code-examples.net
Как отключить проверку цифровой подписи драйвера в Windows 7
В ОС Windows 7 Microsoft существенно ужесточила требованию к устанавливаемым драйверам (рекомендуем познакомиться с занимательной статьей об установке драйверов устройств в Windows 7). Теперь любой устанавливаемый драйвер должен иметь цифровую подпись, проверенную и сертифицированную Microsoft. Перед загрузкой и установкой драйвера любого устройства Windows 7 проверяет цифровую подпись этого драйвера. И если при попытке установить драйвер для нового устройства в Windows 7 вы увидите сообщение: «Windows can’t verify the publisher of this driver software», значит, данный драйвер не имеет цифровой подписи. В указанном диалогом окне можно выбрать вариант ”Install this driver software anyway” («Все равно установить этот драйвер»), однако в любом случае этот драйвер не установится, и значит, устройство работать не будет.
При установке неподписанного драйвера, в диспетчере устройств данное устройство будет помечено восклицательным знаком и содержать следующее сообщение об ошибке:
Windows cannot verify the digital signature for the drivers required for this device. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source. (Code 52)
Также о проблемах с цифровой подписью драйверов могут свидетельствовать такие ошибки: Device driver software was not successfully installed
Политика проверки цифровой подписи у драйверов работает как в 32-х (x86), так и в 64-х (x64) версиях Windows 7 и главная причина появления такой политики установки сторонних драйверов – желание улучшить стабильность и надежность ОС Windows, добившись того, чтобы все выпускаемые драйвера проходили через сертификационный тест и тест на совместимость в Microsoft.
К счастью в Windows 7 можно отключить проверку цифровой подписи драйвера. И сделать это можно несколькими способами:
- Самому подписать драйвер (сделать это можно с помощью специального софта, или по инструкции, описанной в мануале Как подписать цифровой подписью драйвер для Windows 7 x64)
- Отключить проверку цифровой подписи драйверов с помощью групповой политики
- Изменить режим загрузки ОС на загрузку без проверки цифровой подписи (с помощью bcdedit)
- Загрузить Windows 7 без проверки цифровой подписи (через загрузочное меню по клавише F8)
Рассмотрим все перечисленные варианты отключения проверки подписей драйверов
Загрузка Windows 7 без проверки цифровой подписи
Возможно временно отключить проверку подписей драйверов, если перегрузить систему, при загрузке нажать клавишу F8. В появившемся меню с вариантами загрузки системы выбрать пункт Disable Driver Signature Enforcement(«Отключение обязательной проверки подписи драйвера»).
После загрузки Win 7 можно будет установить неподписанный драйвер и протестировать его работу, однако если загрузиться в обычном режиме, драйвер работать не будет
Отключаем проверку подписи драйверов в Windows 7 с помощью групповой политики
В том случае, если вы полностью хотите отключить проверку подписывания драйверов в Windows 7, сделать это можно с помощью групповой политики.
В меню политик перейдите в раздел User Configuration->Administrative Templates-> System->Driver Installation.
В правой панели найдите пункт ‘Code Signing for Device Drivers’ и дважды щелкните по нему.
В появившемся окне выберите ‘Enabled’, а в нижнем меню — ‘Ignore’. Нажмите Ок и перезагрузите компьютер. После перезагрузи и применения политика, в своей Windows 7 вы полностью отключите подписывание драйверов, и сможете установить любые, в том числе, неподписанные драйвера.
Отключаем проверку цифровой подписи драйверов в Windows 7 с помощью bcdedit
Откройте командную строку с правами администратора и последовательно наберите следующие две команды:
После выполнения каждой из команд должно появиться сообщение о том, что команда выполнена успешно.
Перезагрузите компьютер и попробуйте установить неподписанный драйвер. Вуаля!
Если вам нужно отменить этот режим работы и вновь включить проверку цифровой подписи в win 7, выполните следующие команды:
winitpro.ru
Драйвера без цифровой подписи в Windows 7
Многие пользователи уже встречались с неподписанными драйверами. Хочешь установить необходимый драйвер для какой-то программы, а Windows 7 показывает здоровенную фигу – мол, иди гуляй, парнишка, у драйвера нет цифровой подписи. Как решить такую проблему?
Собственно, решений здесь ровным счетом два – либо избавиться вообще от проверки цифровых подписей, либо…добавить эту подпись самостоятельно! Ага, вы небось и не знали, что драйвера можно подписывать собственноручно? Век живи – век учись.
Но сначала узнаем, как можно отключить проверку цифровой подписи у драйверов.
Отключение проверки цифровых подписей у драйверов в Windows 7
Отключить сие безобразие можно в специальном режиме Windows 7, который выбирается при загрузке системы. Как правило, такая возможность актуальна для программ, что устанавливают свой драйвер без перезагрузки.
Для отключения следует открыть загрузочное меню Windows 7, для чего используется клавиша . Включим компьютер, подождем пока промелькнет текст BIOS и начинаем часто нажимать клавишу . Жмем-жмем и появится либо меню выбора операционной системы (если их несколько), либо загрузочное меню.
В первом случае выберите нужную версию Windows, затем снова жмите (надо успеть нажать до того, как Windows загрузится), после чего появится нужное нам меню.
В этом меню выберите параметр Отключение обязательной проверки подписи драйверов и нажмите клавишу .
В результате, Windows будет загружена в специальном режиме. Но не пугайтесь, от обычного он отличается только тем, что в нем нет проверки цифровой подписи у драйверов – и больше ничем. Достаточно перезагрузить Windows и обычный режим проверки снова будет включен.
Кстати, если устанавливать некоторые драйвера в таком режиме, вредная Windows все равно может показать предупреждение, что драйвер не подписан. Наплюйте на него, закройте это предупреждение, и драйвер будет все равно установлен.
Все это замечательно, но я хочу сам подписывать драйвера, ага! Об этом мы поговорим в следующем разделе.
Как вручную подписать драйвер в Windows 7
Сделать такое злодейство, как подпись драйвера, нам поможет программа DSEO (Driver Signature Enforcement Overrider). С помощью данной программы можно создавать собственные подписи драйверов. Учтите – чтобы программа работала, обязательно нужно отключить UAC, иначе фокуса не получится.
Сама программа простая как веник, и работать с ней чрезвычайно просто.
- Запустите программу, щелкните на кнопке Next, затем еще раз на кнопке Next.
- Выберите переключатель Enable Test Mode (тестовый режим), щелкните Next.
- Выберите переключатель Sign a System File (подписать системный файл) и щелкните на кнопке Next.
- Укажите путь к файлу драйвера (вроде C:WindowsSystem32Driverslkindrv.sys), затем снова щелкните на кнопке Next.
- Таким же макаром подписывается необходимое количество драйверов. Осталось перезагрузиться и спокойно себе устанавливайте нужный драйвер.
Есть у такого метода и нюансы – данный тестовый режим будет включен постоянно. К слову сказать, он совершенно официально предназначен для тестирования новых драйверов. Иногда из-за него рядом с панелью задач отображается номер сборки Windows и указано, что операционная система работает в тестовом режиме. Из-за надписи можно не переживать, после выхода из тестового режима она исчезнет.
А как из него выйти? Запустить DSEO, выбрать переключатель Disable Test Mode и снова перезагрузиться.
Метод весьма действенный, причем он не изменяет системный загрузчик либо системные файлы Windows. Однако, есть и альтернативы, которые изменяют загрузчик для автоматического выбора пункта меню Отключение обязательной проверки подписи драйверов. Речь идет о программе ReadyDriverPlus и подробнее о ней в следующем разделе.
Программа ReadyDriverPlus
Программа ReadyDriverPlus позволяет сделать выбор пункта Отключение обязательной проверки подписи драйверов автоматическим. Другими словами, не придется постоянно давить кнопку при загрузке – мелочь, а приятно.
При установке программы достаточно указать, где находится папка Boot с загрузочными файлами Windows (в большинстве случаев C:Boot), после чего перезагрузиться. Папка Boot является скрытой и находится на диске C:, либо в скрытом дисковом разделе.
Теперь при загрузке Windows на несколько секунд появится вариант загрузки – с проверкой подписи или без проверки. Если не выбрать вариант обычной загрузки, то Windows будет загружена в нужном нам режиме.
У некоторых пользователей есть сложности с нахождением папки Boot – действительно, она умеет прятаться (и не зря, слишком важные в ней файлы). Поскольку папка понадобится для работы программы, найти ее можно благодаря советам, представленным в статье “Скрытая папка Boot с загрузочными файлами Windows 7“.
windata.ru
Как подписать драйвер в Windows x64 10/8.1/7 с помощью самоподписанного сертификата
Все 64 битные версии Windows, начиная с Windows 7, по умолчанию запрещают установку драйверов устройств, которые не подписаны с помощью корректной цифровой подписи. Неподписанные драйвер блокируются операционной системой. Наличие цифровой подписи гарантирует (в какой-то мере), что драйвер выпущен конкретным разработчиком или вендором, а его код не был модифицирован после того, как он был подписан.
В Windows 10/7 x64 существует несколько способов отключить проверку цифровой подписи устанавливаемого драйвера: с помощью групповой политики или тестового режима загрузки системы (подробнее все способы описаны в статье Отключаем проверку цифровой подписи для установки неподписанных драйверов в Windows).
Сегодня мы покажем, как можно самостоятельно подписать любой неподписанный драйвер для 64 битной версии Windows 10 или Windows 7.
Предположим, что у нас имеется драйвер некого устройства для x64 Windows 10 или Windows 7, у которого отсутствует цифровая подпись (в нашем примере это будет драйвер для довольно старой видеокарты). Архив с драйверами под нашу версию Windows (мне удалось найти драйвер для Windows Vista x64) был скачан с сайта производителя и его содержимое распаковано в каталог c:toolsdrv1. Попробуем установить драйвер, добавив его в хранилище драйверов Windows с помощью стандартной утилиты pnputil.
Pnputil –a «C:toolsdrv1xg20gr.inf»
В процессе его установки Windows 7 отобразит предупреждение о том, что система не может проверить цифровую подпись данного драйвера.
В Windows 10 такое предупреждение даже не появляется, а в консоли появляется предупреждение, что в стороннем INF файле отсутствует информация о цифровой подписи.
При попытке установить драйвер из проводника Windows, если вы щелкните ПКМ по inf файлу драйвера и выберите Install / Установить появится ошибка:
The third-party INF does not contain digital signature information.
INF стороннего производителя не содержит информации о подписи.
Попробуем подписать данный драйвер с помощью самоподписанного сертификата.
Утилиты, необходимые для подписывания драйвера
Для работы нам понадобится скачать и установить (с настройками по умолчанию) следующие инструменты разработчика приложений для Windows.
- Windows SDK (или Microsoft Visual Studio 2005 или выше) для вашей версии Windows – в состав этих пакетов входит Windows SDK Signing tools for Desktop, в которую включена необходимая нам утилита — signtool.exe;
- Windows Driver Kit 7.1.0 — ISO образа GRMWDK_EN_7600_1.ISO размером 649 Мб
Создаем самоподписанный сертификат и закрытый ключ
Создадим в корне диска каталог C:DriverCert.
Откроем командную строку и перейдем в следующий каталог:
cd C:Program Files (x86)Microsoft SDKsWindowsv7.1bin
Создадим самоподписанный сертификат и закрытый ключ, выданный, допустим, для компании Winitpro:
makecert -r -sv C:DriverCertmyDrivers.pvk -n CN=»Winitpro» C:DriverCertMyDrivers.cer
Во время создания утилита попросит указать пароль для ключа, пусть это будет P@ss0wrd.
На основе созданного сертификата создадим публичный ключ для сертификата издателя ПО (PKCS).
cert2spc C:DriverCertmyDrivers.cer C:DriverCertmyDrivers.spc
Объединим публичный ключ (.spc) и персональный ключ (.pvk) в одном файле сертификата формата Personal Information Exchange (.pfx).
pvk2pfx -pvk C:DriverCertmyDrivers.pvk -pi P@ss0wrd -spc C:DriverCertmyDrivers.spc -pfx C:DriverCertmyDrivers.pfx -po P@ss0wrd
$cert = New-SelfSignedCertificate -Subject «Winitpro” -Type CodeSigningCert -CertStoreLocation cert:LocalMachineMy
Затем нужно экспортировать данный сертфикат в pfx файл с паролем:
$CertPassword = ConvertTo-SecureString -String “P@ss0wrd” -Force –AsPlainText
Export-PfxCertificate -Cert $cert -FilePath C:DriverCertmyDrivers.pfx -Password $CertPassword
Генерируем CAT файл драйвера
Создадим каталог C:DriverCertxg и скопируем в него все файлы из каталога, в который первоначально был распакован архив с драйвером (c:toolsdrv1). Убедить что среди файлов имеются файлы с расширением .sys и .inf (в нашем случае xg20grp.sys и xg20gr).
Перейдем в каталог:
На основе inf файла с помощью утилиты inf2cat.exe (входит в состав Windows Driver Kit -WDK) сгенерируем для нашей платформы cat файл (содержит информацию о всех файлах пакета драйвера).
inf2cat.exe /driver:»C:DriverCertxg» /os:7_X64 /verbose
Чтобы убедитесь, что процедура прошла корректно, проверьте, что в логе присутствуют сообщения:
Signability test complete .
и
Catalog generation complete .
Signability test failed.
22.9.7: DriverVer set to incorrect date (must be postdated to 4/21/2009 for newest OS) in hdx861a.inf
Для исправления ошибки нужно в секции [Version] найти строку с DriverVer= и заменить ее на:
После выполнения команды в каталоге драйвера должен обновиться файл g20gr.cat
Подписываем драйвер самоподписанным сертификатом
Перейдите в каталог:
cd «C:Program Files (x86)Windows Kits10bin10.0.17134.0×64»
Подпишем комплект файлов драйвера созданным нами сертификатом, в качестве сервиса таймстампа (штамп времени) воспользуемся ресурсом Globalsign. Следующая команда подпишет CAT файл цифровой подписью с помощью сертификата, хранящегося в PFX-файл, защищенном паролем.
signtool sign /f C:DriverCertmyDrivers.pfx /p P@ss0wrd /t http://timestamp.globalsign.com/scripts/timstamp.dll /v «C:DriverCertxgxg20gr.cat»
Если файл подписан успешно, должна появится надпись:
Successfully signed: C:DriverCertxgxg20gr.cat
Number of files successfully Signed: 1
SignTool verify /v /pa c:DriverCertxgxg20gr.cat
Лидо в свойствах файла на вкладке Digital Signatures.
CAT файл содержит цифровые подписи (отпечатки / thumbprints) всех файлов, которые находятся в каталоге драйвера (файлов, которые указаны в INF файле в секции CopyFiles). Если любой из этих файлов был изменен, то контрольная сумма файлов не будет совпадать с данными в CAT файле, в результате установка такого драйвера закончится ошибкой.
Установка сертификата
Т.к. созданный нами сертификат является самоподписанным, система по-умолчанию ему не доверяет. Добавим наш сертификат в локальное хранилище сертификатов. Сделать это можно с помощью команд:
certmgr.exe -add C:DriverCertmyDrivers.cer -s -r localMachine ROOT
certmgr.exe -add C:DriverCertmyDrivers.cer -s -r localMachine TRUSTEDPUBLISHER
Или из графического мастера добавления сертификатов (сертификат нужно поместить в хранилища Trusted Publishers и Trusted Root Certification Authorities локальной машины). В домене вы можете централизованно распространить этот сертификат на рабочие станции с помощью групповой политики.
Установка драйвера, заверенного самоподписанным сертификатом
Попробуем еще раз установить подписанный нами драйвер, выполнив команду:
Pnputil –i –a C:DriverCertxg20xg20gr.inf
Теперь в процессе установки драйвера, окна-предупреждения об отсутствующей цифровой подписи драйвера не появится.
Successfully installed the driver on a device on the system.
Driver package added successfully.
В Windows 7 появляется такое предупреждение. о том, уверены ли вы, что хотите установить этот драйвер (в Windows 10 x64 1803 такое всплывающее окно не появляется). Нажав «Install», вы установите драйвер в системе.
Если по каким-то причинам драйвер не устанавливается, подробный лог установки драйвера содержится в файле C:Windowsinfsetupapi.dev.log. Этот лог позволит вам получить более подробную информацию об ошибке установки. В большинстве случаем возникает ошибка «Driver package failed signature validation» — скорее всего это означает, что сертификат драйвера не добавлен в доверенные сертификаты.
winitpro.ru