La instalación del controlador falla porque la cadena de firma cruzada no contiene microsoft

Question

¿Sabe por qué faltaría la "raíz de verificación de código de Microsoft" en una cadena de certificados de firma?

Recientemente hemos movido un sistema de compilación entre dos dominios y tuvimos que volver a instalar certs. Descubrimos que teníamos un problema de firma donde Microsoft no estaba en la cadena y causaba el rechazo del controlador del núcleo durante la instalación.

Nos dimos cuenta de que teníamos 2 certs adicionales en certmgr: Trusted Editorial: Certificados

• Clase 3 Certificación Primaria Pública ..
• certificado de firma Clase 3 Código ...

Después desactivando Certificación Primaria Pública de Clase 3 el "problema" desapareció y tenemos la cadena de firmas adecuada con Microsoft en la parte superior.

No estoy seguro de cómo se instaló Certificación primaria pública de clase 3 o lo que usamos y estamos probando para ver qué impactos podríamos enfrentar.

¿Alguien se ha encontrado con este tipo de problema y cómo lo abordaron? ¿Existe alguna forma de desactivar el uso de la clase 3 en la línea de comando para poder dejar la configuración certmgr sola, reduciendo el riesgo?

Gracias por la ayuda

Peter

Signos de comando de

signtool.exe sign /v /ac MSCV-VSClass3.cer /s TrustedPublisher /n "My Corp" /t http://timestamp.verisign.com/scripts/timstamp.dll mydriver.sys 

mydriver.sys Verificación sesión SignTool verificar/KP/v

*** Signing Certificate Chain: 
*** Issued to: Class 3 Public Primary Certification Authority 
*** Issued by: Class 3 Public Primary Certification Authority 
*** Expires: 8/2/2028 7:59:59 PM 
*** SHA1 hash: xxxxxxxxxxxxxxxxxx 

    Issued to: VeriSign Class 3 Code Signing 2009-2 CA 
    Issued by: Class 3 Public Primary Certification Authority 
    Expires: 5/20/2019 7:59:59 PM 
    SHA1 hash: xxxxxxxxxxxxxxxxxx 

     Issued to: My Corp 
     Issued by: VeriSign Class 3 Code Signing 2009-2 CA 
     Expires: 9/10/2013 8:59:59 PM 
     SHA1 hash: xxxxxxxxxxxxxxxxxx 

Answer 1

En teoría, puedo instalar el certificado de firma cruzada de verisign que coincida con mi certificado en una tienda de certificados y el letrero lo usará automáticamente. Sin embargo, esto puede llevar a que se use el certificado incorrecto para cruzar el signo.

Ser explícito es mejor

• instalar mi certificado en el almacén trustedpublisher para el usuario que los signos a través de certmgr.msc
• Obtener el certificado adecuado para su cert (https://knowledge.verisign.com/support/code-signing-support/index?page=content&actp=CROSSLINK&id=SO5820)
• ser explícito al firmar

SignTool.exe sign /v /s trustedpublisher /ac path-to-retrieved-cert\MSCV-VSClass3.cer /n myCertName /t http://timestamp.verisign.com/scripts/timestamp.dll driver-file-to-sign

• Verificar

SignTool.exe verify /kp /v drive-file-to-check

o si tiene una cata archivo de registro

SignTool.exe verify /kp /v /c driver-cat-file.cat drive-sys-file.sys

Answer 2

Comparamos dos sistemas de compilación y encontramos una Certificación primaria pública de clase 3 adicional en nuestra lista de editores de certmgr trusted en el sistema incorrecto. Esto coincide con el nivel superior en nuestra cadena. Inhabilitamos esta publicación y la parte superior de la cadena se restauró en Microsoft.

Por lo tanto, todavía tenemos preguntas, pero esto parece haber resuelto nuestro problema sin efectos nocivos para otras compilaciones.