[закрыто]Кто свой код для винды подписывает? Есть парочка вопросов

yolki

что-то винда моей подписи не доверяет :cool:

Codcod

а у тебя корневая подпись есть? :)
твоя подпись должна ссылаться на корневую какой-нибудь из известных компаний, а корневая ссылаться на микрософт
это как круговая порука :D

SergeRRRRRR

лол, надо покупать сертификат разработчика для конкретного вида ПО.

yolki

теоретиков попрошу воздержаться.
есть сертификат, куплен у Verisign.
кончается на Verisign-овом корневом.
Обычным экзешникам доверие есть.
А вот в ядро меня не пускают.
Issuer:
CN = VeriSign Class 3 Code Signing 2010 CA
OU = Terms of use at http://www.verisign.com/rpa (c)10
OU = VeriSign Trust Network
O = VeriSign, Inc.
C = US
Subject:
CN = ***
OU = Digital ID Class 3 - Microsoft Software Validation v2
O = ***
L = Moscow
S = Moscow
C = RU
Вот тут пишут, что надо поставить кросс-сертификат. Однако, сертификат выпущен "Microsoft Code Verification Root", а вот этот корневой я нигде раздобыть не могу. Так что толку от кросса нет ибо ему нет доверия.
Либо лыжи не едут, либо я д'Артаньян

nata_chira

можешь скинуть тот серт, к которому пытаешься анйти корневой? а то чото непонятно(

Dasar

afaik, для драйвера сертификат должен быть не просто доверенным, а быть подписан микрософтом (или чем-то подобным).
ps
основная мысль, что не всякий доверенный сертификат может использоваться для подписывания драйверов

yolki

http://go.microsoft.com/fwlink/?LinkId=321788


-----BEGIN CERTIFICATE-----

MIIFjTCCA3WgAwIBAgIKYS0jywAAAAAAITANBgkqhkiG9w0BAQUFADB/MQswCQYD

VQQGEwJVUzETMBEGA1UECBMKV2FzaGluZ3RvbjEQMA4GA1UEBxMHUmVkbW9uZDEe

MBwGA1UEChMVTWljcm9zb2Z0IENvcnBvcmF0aW9uMSkwJwYDVQQDEyBNaWNyb3Nv

ZnQgQ29kZSBWZXJpZmljYXRpb24gUm9vdDAeFw0xMTAyMjIxOTQ2MzlaFw0yMTAy

MjIxOTU2MzlaMIG9MQswCQYDVQQGEwJVUzEXMBUGA1UEChMOVmVyaVNpZ24sIElu

Yy4xHzAdBgNVBAsTFlZlcmlTaWduIFRydXN0IE5ldHdvcmsxOjA4BgNVBAsTMShj

KSAyMDA4IFZlcmlTaWduLCBJbmMuIC0gRm9yIGF1dGhvcml6ZWQgdXNlIG9ubHkx

ODA2BgNVBAMTL1ZlcmlTaWduIFVuaXZlcnNhbCBSb290IENlcnRpZmljYXRpb24g

QXV0aG9yaXR5MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAx2E3XrEB

NNti1xWb/1hajCMj1mCOkdeQmIN65lgZOIzF9uVkhbSicfvtvbnazU0AtMgtc6XH

aXGVHzk8skQHnOgO+k1KxCHfKWGPMiJhgsWHH26MfF8WIFFE0XBPV+rjHOPMee5Y

2A7Cs0WTwCznmhcrewA3ekEzeOEz4vMQGn+HLL729fdC4uW/h2KJXwBL385HVE

MkE6HnFuacsLdUYI0crSK5XQz/u5QGtkjFdN/BMReYTtXlT2NJ8IAfMQJQYXStrx

HXpma5hgZqTZ79IugvHw7wnqRMkVauIDbjPTrJ9VAMf2CGqUuV/c4DPxhGD5WycR

tPwW8rtWaoAljQIDAQABo4HLMIHIMBEGA1UdIAQKMAgwBgYEVR0gADAPBgNVHRMB

Af8EBTADAQH/MAsGA1UdDwQEAwIBhjAdBgNVHQ4EFgQUtnf6aUhHn1MS1cLqBzJ2

B9GXBxkwHwYDVR0jBBgwFoAUYvsKIVt/Q24R2glUUGv10pZx8Z4wVQYDVR0fBE4w

TDBKoEigRoZEaHR0cDovL2NybC5taWNyb3NvZnQuY29tL3BraS9jcmwvcHJvZHVj

dHMvTWljcm9zb2Z0Q29kZVZlcmlmUm9vdC5jcmwwDQYJKoZIhvcNAQEFBQADggIB

AFlHUpo0Qz2wE8QyuPg32VVQDSqkZ2czlMn/2PUMrI1aOYNIbbK7Q497C/NbrzR6

T563COf+ATgR3i87nD6WC7JQgua1VbRglhNI7SctJQJyOLPzZVmKYjN21Wz5lfSd

NUyDoMFn/IO1dpPG6FIbWbm6hZQKO9EoBRsZDPMjF2VGeA7Zc0rAvD3ASOGk+Ifl

FuFWh2U44QAXoh5EK/ZPWik8sBu4X2VLSOtqmCleV+L1YthDR7MuahNBp304IwYN

91zmf7rNZQSSUlImYKijPCINrbe6TDJvUt6rm3HJnui+n16mrXfXbSWVVioYQ8LM

wW7hzt9F7/63USp8mLT+ZoOfa2zsdNWfMh8kO0M60QQdAEpbpdJtZkzIwU3swwE1

wbh5/eDG9qgpoJKNPUN3eKYeTMI4BFjrOoM0BMY0ThNFsltyL3JqT+UafBhrROPI

WB+OcQyAa04rezz4SuOTksSwmrymYbfTfMpw9fr/zQei2egRzGxEUJ9xsILSNqZZ

c723C1tphnulH8edwdIK3S5MwjG2hyqNEHr6p348X/CwoPVFBd55EnoChfEeitOZ

hxcpXL51WNZ5AQaVYzn7BRbHPUlRrPprmC3Ml26ss8NvgpwAln8kDelZQGGzZNu5

+UGhue7ZWI3/BFfO2P7q/2dbzhP8nPz24WbNo6DddxGy

-----END CERTIFICATE-----

yolki

для драйверов нужен WHQL-сертификат, но я в ядро не через эту форточку лезу

nata_chira

а у тебя твой серт поднимается к VeriSign Uniresal Root ?
точно не к G5 ?
ссфлко на G5 кросс-серт

yolki

издатель у этого кросса кто?

nata_chira

тот же что и по твоей ссылке. Они там рядом на одной странице

yolki

Собственно один из вопросов - добыть сертификат "Microsoft Code Verification Root".
Его нету НИГДЕ.
Есть маленькая надежда, что если я установлю этот сертификат в систему - цепочка сойдётся до корневого микрософтовского.

nata_chira

так все таки твой личный серт куда сходится?

yolki

Сейчас не помню, дойду до работы - уточню.
по-моему всё-таки к Universal Root.
может быть, к G5
это принципиально?

nata_chira

тогда меньше удивления почему не работает
вот когда с кроссом от G5 не заработает то будем думать дальше

yolki

меня смущает, что к кроссу нет доверия
я заглядывал в кишки, и по тому что я увидел, оно должно сойтись к микрософтовскому сертификату "Microsoft Authenticode(tm) Root Authority".
Значит, от кросса должна быть цепочка к нему, вероятно - через "Microsoft Code Verification Root", а его нету :(

Codcod

Ну в отличие от практиков которые не могут подписать дрова :smirk: у нас все подписывается.
а по теме ты должен у VeriSign добыть кросс-сетификат на микрософт ( для умных ЛЕЖИТ У НИХ НА САЙТЕ )
и подписать свой драйвер своим ключом с явным указанием кросс-сертификата.

yolki

Я это сделал. с указанием кросса:


Verifying: foo.dll

Hash of file (sha1): D165F7402A38133EFA3BB42A30466B781EAB7094



Signing Certificate Chain:

    Issued to: VeriSign Class 3 Public Primary Certification Authority - G5

    Issued by: VeriSign Class 3 Public Primary Certification Authority - G5

    Expires:   Thu Jul 17 03:59:59 2036

    SHA1 hash: 4EB6D578499B1CCF5F581EAD56BE3D9B6744A5E5



        Issued to: VeriSign Class 3 Code Signing 2010 CA

        Issued by: VeriSign Class 3 Public Primary Certification Authority - G5

        Expires:   Sat Feb 08 03:59:59 2020

        SHA1 hash: 495847A93187CFB8C71F840CB7B41497AD95C64F



            Issued to: ***

            Issued by: VeriSign Class 3 Code Signing 2010 CA

            Expires:   Sun Feb 08 03:59:59 2015

            SHA1 hash: ###



The signature is timestamped: Mon Feb 10 18:19:12 2014

Timestamp Verified by:

    Issued to: Thawte Timestamping CA

    Issued by: Thawte Timestamping CA

    Expires:   Fri Jan 01 03:59:59 2021

    SHA1 hash: BE36A4562FB2EE05DBB3D32323ADF445084ED656



        Issued to: Symantec Time Stamping Services CA - G2

        Issued by: Thawte Timestamping CA

        Expires:   Thu Dec 31 03:59:59 2020

        SHA1 hash: 6C07453FFDDA08B83707C09B82FB3D15F35336B1



            Issued to: Symantec Time Stamping Services Signer - G4

            Issued by: Symantec Time Stamping Services CA - G2

            Expires:   Wed Dec 30 03:59:59 2020

            SHA1 hash: 65439929B67973EB192D6FF243E6767ADF0834E4



Cross Certificate Chain:

    Issued to: Microsoft Code Verification Root

    Issued by: Microsoft Code Verification Root

    Expires:   Sat Nov 01 17:54:03 2025

    SHA1 hash: 8FBE4D070EF8AB1BCCAF2A9D5CCAE7282A2C66B3



        Issued to: VeriSign Class 3 Public Primary Certification Authority - G5

        Issued by: Microsoft Code Verification Root

        Expires:   Mon Feb 22 23:35:17 2021

        SHA1 hash: 57534CCC33914C41F70E2CBB2103A1DB18817D8B



            Issued to: VeriSign Class 3 Code Signing 2010 CA

            Issued by: VeriSign Class 3 Public Primary Certification Authority - G5

            Expires:   Sat Feb 08 03:59:59 2020

            SHA1 hash: 495847A93187CFB8C71F840CB7B41497AD95C64F



                Issued to: ***

                Issued by: VeriSign Class 3 Code Signing 2010 CA

                Expires:   Sun Feb 08 03:59:59 2015

                SHA1 hash: ###



Successfully verified: foo.dll



Number of files successfully Verified: 1

Number of warnings: 0

Number of errors: 0

но в ядро её не пускают.

yolki

может быть, у тебя какой-то другой кросс?
можешь ссылку дать на него?

yolki

yolki

Так. сдаётся, мне испекли неправильный сертификат.
для ядра семёрки нужен sha1, а у меня сертификат на подпись sha256

yolki

Перевыпустил сертификат под sha1 - заработало

nata_chira

чисто из спортивного интереса—у нового серта тепреь вся цепочка показыавется валидной?

yolki

Она валидная до корневого Verisign (G5).
кросс добавлен в dll и он не валиден, но принимается
Оставить комментарий
Имя или ник:
Комментарий: