уточнение про подпись драйверов - Низкоуровневое программирование

Добрый день!
Мне необходимо подписать драйвер для разных платформ (XP, VISTA, Windows 7 при чём как для 32 так и для 64). Прочёл все сообщения которые есть на этом форуме по этой теме. И у меня остались некторые неясности, которые, надеюсь, знающие люди разЪяснят мне.
И так: имею для каждой платформы *.sys, *.inf и *.cat фыйлы.
Для того что бы подписать это всё мне необходимо иметь кросс-сертификат (который бесплатно качается с сайта Microsoft) и супер-пупер главный сертификат которым и будет производиться подпись и который нужно КУПИТЬ в соответсвующей фирме (например в VeriSign). При чём кросс-сертификат должен соответствовать супер-пупер сертификату.
До этого момента мне вроде всё ясно. Я спомощью купленного сертификата подписываю свои драйвера и раздаю их пользователям. Правильно?
А вот нужно ли обращаться дополнительно в лабораторию WHQL Microsoft и проходить все тесты, и платить ещё денег для того что бы драйвера были подписаны? Или это просто альтернативный путь подписания? Или он всё таки обязятелен?

Здравствуйте, siew, Вы писали:

S>А вот нужно ли обращаться дополнительно в лабораторию WHQL Microsoft и проходить все тесты, и платить ещё денег для того что бы драйвера были подписаны? Или это просто альтернативный путь подписания? Или он всё таки обязятелен?

Он не обязателен, но дабы избавить пользоватяля наблюдать окошечко на экране о том, что сейчас будет установлен драйвер подписанный сертификатом выданным на Вашу организацию — в этом случае можно.
С другой стороны после проверки WHQL к вашему продукту доверя будет больше — всетаки прошел тесты Microsoft.

Ну а так каждый решает платить или не платить за дополнительные тесты WHQL.

Здравствуйте, siew, Вы писали:

S>И так: имею для каждой платформы *.sys, *.inf и *.cat фыйлы.

Понятно, что подписывается только .cat.

S>До этого момента мне вроде всё ясно. Я спомощью купленного сертификата подписываю свои драйвера и раздаю их пользователям. Правильно?
S>А вот нужно ли обращаться дополнительно в лабораторию WHQL Microsoft и проходить все тесты, и платить ещё денег для того что бы драйвера были подписаны? Или это просто альтернативный путь подписания? Или он всё таки обязятелен?

После проставления своей подписью драйвер будет ставиться везде (неподписанный, как известно, не ставиться на x64 без "шаманства"), но у пользователя будет предупреждения типа: данный драйвер подписан компанией XXX, вы её довнряете?

Если пойти в WHQL, то после успешного прохождения, будет прислан .cat-файл, подписанный MS. Такой драйвер встаёт без вопросов.

Тесты пройти и сгенерить submiision package (.cpk-файл) можно и самому. Так даже правильнее, т.к. будет виден результат. Потом под все сгенеренные .cpk'шки путем Windows Submission Tool объеденяются в один .cab. И он остылается на подпись. Кстати, процедура подписи от MS далеко не бесплатна. И платить на за каждую ось (.cpk).

Нужна или нет подпись от MS — решать надо самому. Может потребоваться, например, если потребует заказчик/покупатель.

Здравствуйте, _f_b_i_, Вы писали:

___>Здравствуйте, siew, Вы писали:

S>>А вот нужно ли обращаться дополнительно в лабораторию WHQL Microsoft и проходить все тесты, и платить ещё денег для того что бы драйвера были подписаны? Или это просто альтернативный путь подписания? Или он всё таки обязятелен?

___>Он не обязателен, но дабы избавить пользоватяля наблюдать окошечко на экране о том, что сейчас будет установлен драйвер подписанный сертификатом выданным на Вашу организацию — в этом случае можно.
___>С другой стороны после проверки WHQL к вашему продукту доверя будет больше — всетаки прошел тесты Microsoft.

___>Ну а так каждый решает платить или не платить за дополнительные тесты WHQL.

Погодите, получается подпись драйвер сертификатом за 400 баксав убирает окошко о том что "драйвер не подписан и вы ставите его на свой страх и риск", но добаваляет окно о том что "устанавливается драйвер, подписаный сертификатом Vrisign, выданный фирме MyFirma" ? А как оно выглядит? Есть ли скришоты какие-нибудь? Чесно говоря я таких окон никогда не видел.
И еще. Чеё имя будет стоять в свойствах драйвера в "Цифровая подпись: "? Там будет Microsoft... или Verisign... ?

Здравствуйте, siew, Вы писали:

S>Погодите, получается подпись драйвер сертификатом за 400 баксав убирает окошко о том что "драйвер не подписан и вы ставите его на свой страх и риск", но добаваляет окно о том что "устанавливается драйвер, подписаный сертификатом Vrisign, выданный фирме MyFirma" ? А как оно выглядит? Есть ли скришоты какие-нибудь? Чесно говоря я таких окон никогда не видел.

Описано здесь. Коротко бывает 3 ситуации:

1. Неподписан. При установке на x32 ругается "драйвер не подписан". Не встаёт на x64.
2. Подписан своей подписью. Встаёт везде. Вылезает окошко: "Драйвер подписан компанией XXX. Продожить установку"
3. Подписан WHQL. Ставиться везде без вопросов.

S>И еще. Чеё имя будет стоять в свойствах драйвера в "Цифровая подпись: "? Там будет Microsoft... или Verisign... ?

Если подписан своей подписью — то она и будет в свойствах. А если "тыркнуть" на владельца, в качестве заверяющей организации будет Verisign
Если подписан WHQL — будет подпись MS WHQL.

Здравствуйте, BerAn, Вы писали:

BA>Описано здесь. Коротко бывает 3 ситуации:

BA>1. Неподписан. При установке на x32 ругается "драйвер не подписан". Не встаёт на x64.
BA>2. Подписан своей подписью. Встаёт везде. Вылезает окошко: "Драйвер подписан компанией XXX. Продожить установку"
BA>3. Подписан WHQL. Ставиться везде без вопросов.

Тут как раз и раскрывается причина моего вопроса. Меня интересует вышеуказаный пункт 2. Под "своей подписью" вы имеете ввиду подпись сертификатом, который любой пользователь может создать, или всё-таки попись сертификатом, который был куплен у VeriSign?
Если речь идёт о собственном сертификате, то его нужно ещё проинсталировать на той машине куда ставиться драйвер (с x64 тут опять свои проблемы) иначе от подписи нет толку. А если речь о Verisign Cert то .... тут мне интересно достаточно ли этого что бы убрать все ненужные окна и иметь подписаный драйвер что бы устанавливать его на других машинах

Здравствуйте, siew, Вы писали:

BA>>2. Подписан своей подписью. Встаёт везде. Вылезает окошко: "Драйвер подписан компанией XXX. Продожить установку"

S>Тут как раз и раскрывается причина моего вопроса. Меня интересует вышеуказаный пункт 2. Под "своей подписью" вы имеете ввиду подпись сертификатом, который любой пользователь может создать, или всё-таки попись сертификатом, который был куплен у VeriSign?
S>Если речь идёт о собственном сертификате, то его нужно ещё проинсталировать на той машине куда ставиться драйвер (с x64 тут опять свои проблемы) иначе от подписи нет толку. А если речь о Verisign Cert то .... тут мне интересно достаточно ли этого что бы убрать все ненужные окна и иметь подписаный драйвер что бы устанавливать его на других машинах

Который куплен у Verisign. Окно будет появляться при инсталяции. На "старших" ОС (типа Win7) пользователь может поставить галочку "Всегда доверять компании XXX". Чтобы вставало совсем без вопросов (без хаков), то надо whql подпись.

Здравствуйте, BerAn, Вы писали:

BA>Здравствуйте, siew, Вы писали:

BA>>>2. Подписан своей подписью. Встаёт везде. Вылезает окошко: "Драйвер подписан компанией XXX. Продожить установку"

S>>Тут как раз и раскрывается причина моего вопроса. Меня интересует вышеуказаный пункт 2. Под "своей подписью" вы имеете ввиду подпись сертификатом, который любой пользователь может создать, или всё-таки попись сертификатом, который был куплен у VeriSign?
S>>Если речь идёт о собственном сертификате, то его нужно ещё проинсталировать на той машине куда ставиться драйвер (с x64 тут опять свои проблемы) иначе от подписи нет толку. А если речь о Verisign Cert то .... тут мне интересно достаточно ли этого что бы убрать все ненужные окна и иметь подписаный драйвер что бы устанавливать его на других машинах

BA>Который куплен у Verisign. Окно будет появляться при инсталяции. На "старших" ОС (типа Win7) пользователь может поставить галочку "Всегда доверять компании XXX". Чтобы вставало совсем без вопросов (без хаков), то надо whql подпись.

Ясно.
Спасибо

Здравствуйте, BerAn, Вы писали:

BA>Если подписан своей подписью — то она и будет в свойствах. А если "тыркнуть" на владельца, в качестве заверяющей организации будет Verisign
BA>Если подписан WHQL — будет подпись MS WHQL.

Кстати, я в соседнем форуме спрашивал, но вопрос остался без ответа: в PE-файле предусмотрена возможность наличия нескольких цифровых подписей, и окошко свойств файла тоже предполагает, что подписей может быть больше одной. Однако все известные утилиты подписывания (signtool/signcode от MS, signcode от x2net) не добавляют подписи, а заменяют одну на другую. Это косяк, или все решили, что больше одной подписи PE-файлу не потребуется?

... << RSDN@Home 1.1.4 stable SR1 rev. 568>>

	От:	siew
	Дата:	25.01.10 15:39
	Оценка:

	От:	_f_b_i_
	Дата:	25.01.10 16:13
	Оценка:

	От:	BerAn
	Дата:	26.01.10 08:00
	Оценка:

	От:	siew
	Дата:	26.01.10 09:13
	Оценка:

	От:	BerAn
	Дата:	26.01.10 11:33
	Оценка:

От:	Евгений Музыченко	https://software.muzychenko.net/ru
Дата:	01.02.10 14:10
Оценка: