none
能够通过.cab文件中的证书对驱动签名吗? RRS feed

  • 问题

  • 过滤驱动通过了测试后可以下载微软签名的.cab文件。但是,微软并没有对.sys文件签名。想问下:

    1.是否能够通过.cab文件中的签名对.sys文件进行签名从而使得驱动获得嵌入式签名而无需再将.cab文件包含在安装包中?

    2.如果无法再通过微软签名的.cab文件为.sys文件签名,那么如何在HCK系统中对.sys文件进行签名?

    多谢!

    2015年3月2日 12:37

答案

  • 过滤驱动通过了测试后可以下载微软签名的.cab文件。但是,微软并没有对.sys文件签名。想问下:

    1.是否能够通过.cab文件中的签名对.sys文件进行签名从而使得驱动获得嵌入式签名而无需再将.cab文件包含在安装包中?

    2.如果无法再通过微软签名的.cab文件为.sys文件签名,那么如何在HCK系统中对.sys文件进行签名?

    多谢!

    签名是整个驱动程序包的签名。对文件的签名可以自己来做,使用signtool工具,直接将verisign ID签在文件上即可。但这个步骤应该在hck测试和提交hck结果之前做。现在拿到的cat文件不包括带签名的sys文件,所以现在就不要在sys文件上签名了。


    http://whqlcn.wordpress.com

    2015年3月4日 8:07
    版主
  • 多谢回答。就是说我们不能够在.sys文件上签名“Microsoft Windows Hardware Compatibility Publisher”,而只能使用我们公司的证书签名,并同时提供微软签名的catelog文件,对吧?另外,驱动包是包含了.inf的文件的,是否意味着这个INF文件也不能够改动哪怕一个字节了?

    是这样的。inf文件的变化,也会引起签名失效。

    但如果只需要改inf文件的话,sys文件没有任何变化的话,可以按照DUA流程申请数字签名,不需要进行完整的HCK测试,只提交新的驱动程序包即可获得数字签名。DUA就是可接受的设备升级。


    http://whqlcn.wordpress.com

    2015年3月5日 7:18
    版主

全部回复

  • 过滤驱动通过了测试后可以下载微软签名的.cab文件。但是,微软并没有对.sys文件签名。想问下:

    1.是否能够通过.cab文件中的签名对.sys文件进行签名从而使得驱动获得嵌入式签名而无需再将.cab文件包含在安装包中?

    2.如果无法再通过微软签名的.cab文件为.sys文件签名,那么如何在HCK系统中对.sys文件进行签名?

    多谢!

    签名是整个驱动程序包的签名。对文件的签名可以自己来做,使用signtool工具,直接将verisign ID签在文件上即可。但这个步骤应该在hck测试和提交hck结果之前做。现在拿到的cat文件不包括带签名的sys文件,所以现在就不要在sys文件上签名了。


    http://whqlcn.wordpress.com

    2015年3月4日 8:07
    版主
  • 多谢回答。就是说我们不能够在.sys文件上签名“Microsoft Windows Hardware Compatibility Publisher”,而只能使用我们公司的证书签名,并同时提供微软签名的catelog文件,对吧?另外,驱动包是包含了.inf的文件的,是否意味着这个INF文件也不能够改动哪怕一个字节了?
    2015年3月4日 14:22
  • 多谢回答。就是说我们不能够在.sys文件上签名“Microsoft Windows Hardware Compatibility Publisher”,而只能使用我们公司的证书签名,并同时提供微软签名的catelog文件,对吧?另外,驱动包是包含了.inf的文件的,是否意味着这个INF文件也不能够改动哪怕一个字节了?

    是这样的。inf文件的变化,也会引起签名失效。

    但如果只需要改inf文件的话,sys文件没有任何变化的话,可以按照DUA流程申请数字签名,不需要进行完整的HCK测试,只提交新的驱动程序包即可获得数字签名。DUA就是可接受的设备升级。


    http://whqlcn.wordpress.com

    2015年3月5日 7:18
    版主
  • 多谢帮助!
    2015年3月5日 12:07
  • 一个引申的问题:如果完成了签名后,我们的驱动并不使用inf文件进行安装,而是由其他程序安装,只是将inf文件和catelog复制到inf目录中,是否会有影响?如果甚至是干脆不使用inf,而只将驱动.sys文件和catelog文件复制到系统,可不可以?
    2015年3月9日 8:25
  • 一个引申的问题:如果完成了签名后,我们的驱动并不使用inf文件进行安装,而是由其他程序安装,只是将inf文件和catelog复制到inf目录中,是否会有影响?如果甚至是干脆不使用inf,而只将驱动.sys文件和catelog文件复制到系统,可不可以?

    按照微软的要求,设备驱动程序必须使用INF安装。


    http://whqlcn.wordpress.com

    2015年3月12日 5:55
    版主
  • 我们的驱动不是设备驱动,而是过滤驱动,类似防火墙产品或者文件系统加密产品使用的过滤驱动。这样是否可以不通过inf进行安装而保持认证的状态?
    2015年3月13日 8:02
  • 我们的驱动不是设备驱动,而是过滤驱动,类似防火墙产品或者文件系统加密产品使用的过滤驱动。这样是否可以不通过inf进行安装而保持认证的状态?
    微软对设备驱动程序和过滤驱动程序的要求是一样的。 所以如果不采用inf安装,驱动程序数字签名就不会生效。

    http://whqlcn.wordpress.com

    2015年3月30日 4:56
    版主
  • 收到,多谢!
    2015年3月30日 12:38