всегда подписывал драйвера обычным сертификатом от DigiCert, пока Майкрософт не выпустил 1607 версию для 10 Винды.
Так вот, если пользователь с этой ОС в биосе установит опцию Security Boot, то все мои подписи при загрузке винды с драйверов
слетают. Поэтому у меня вопрос — а если использовать их EV сертификат для подписи? Будет ли влиять включение той опции на него?
Связался я с саппортом от DigiCert, там сказали — что одного EV сертификата достаточно и включение той опции не должно влиять.
А вот у меня сомнения, все как то просто у них получается.
Может, кто уже пробовал использовать его на практике, поделитесь опытом?
Re: EV сертификат для подписи драйвера в Windows 10
Здравствуйте, Vicul, Вы писали:
V>Может, кто уже пробовал использовать его на практике, поделитесь опытом?
EV — это еще не все. Драйверы придется подписывать не signtool, а через специальный веб-портал,
упаковывая их внутрь cab-архивов. Вся процедура занимает примерно 15-20 минут.
Re[2]: EV сертификат для подписи драйвера в Windows 10
O>EV — это еще не все. Драйверы придется подписывать не signtool, а через специальный веб-портал, O>упаковывая их внутрь cab-архивов. Вся процедура занимает примерно 15-20 минут.
А можно поподробнее, что за портал, Макрософт или Digicert? Есть где это все подробно расписано по шагам?
Re[3]: EV сертификат для подписи драйвера в Windows 10
Если вкратце:
1. Собирается драйвер, опционально подписывается.
2. Запаковывается в CAB, этот CAB подписывается EV-сертификатом (обязательно).
3. На дашборде создаётся submission request, туда загружается подписанный CAB.
4. Следим за статусом реквеста, он на сервере обрабатывается полностью автоматически, занимает минут десять.
5. Как подписалось — качаем получившийся архив, там драйверы, подписанные Microsoft-подписью специально для Win10.
Примечание: Такой драйвер подходит только для десятки — предыдущие версии виндов подпись не схавают, для них надо либо стандартную подпись купленным сертификатом с кроссом, либо с HLK-подписью корячиться.
Примечание 2: Я посылал на подпись относительно давно, с тех пор Microsoft ввели какой-то новый дашборд и, похоже, крепко налажали. В итоге, сейчас в старом дашборде уже нет опции послать драйвер, есть только ссылка на новый, а новый при этом не грузится (открывается пустая страница, которая зацикливается в их долбанутых oauth логин-редиректах). Так что посмотреть, как оно выглядит в новой оболочке, не получилось.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[4]: EV сертификат для подписи драйвера в Windows 10
CF>Примечание: Такой драйвер подходит только для десятки — предыдущие версии виндов подпись не схавают, для них надо либо стандартную подпись купленным сертификатом с кроссом, либо с HLK-подписью корячиться.
CF>Примечание 2: Я посылал на подпись относительно давно, с тех пор Microsoft ввели какой-то новый дашборд и, похоже, крепко налажали. В итоге, сейчас в старом дашборде уже нет опции послать драйвер, есть только ссылка на новый, а новый при этом не грузится (открывается пустая страница, которая зацикливается в их долбанутых oauth логин-редиректах). Так что посмотреть, как оно выглядит в новой оболочке, не получилось.
Спасибо,
идея в целом понятна, может кто-нибудь еще инфой по новей поделиться.
Вопрос, я так понимаю ЕВ сертификат нужен только для того чтобы подписать cab для отсылки, а мелкие после высылают драйвера со своей подписью.
За это им надо "отстегивать"?
И еще, если я получаю драйвер для 10, по идее он должен быть валидным и для 8 тоже?
Re[5]: EV сертификат для подписи драйвера в Windows 10
Здравствуйте, Vicul, Вы писали:
V>Вопрос, я так понимаю ЕВ сертификат нужен только для того чтобы подписать cab для отсылки, а мелкие после высылают драйвера со своей подписью. V>За это им надо "отстегивать"?
Нет.
V>И еще, если я получаю драйвер для 10, по идее он должен быть валидным и для 8 тоже?
Драйвер, может быть, и валидный, а подпись — нет. Я ж специально выше примечание написал.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[4]: EV сертификат для подписи драйвера в Windows 10
Здравствуйте, CaptainFlint, Вы писали:
CF>Если вкратце: CF>1. Собирается драйвер, опционально подписывается. CF>2. Запаковывается в CAB, этот CAB подписывается EV-сертификатом (обязательно). CF>3...
Кстати, сейчас EV нужен только для регистрации аккаунта.
А далее можно загрузить в профиль обычный (не EV) сертификат и подписывать им cab-архивы.
CF>Я посылал на подпись относительно давно, с тех пор Microsoft ввели какой-то новый дашборд и, похоже, крепко налажали. CF>В итоге, сейчас в старом дашборде уже нет опции послать драйвер, есть только ссылка на новый, а новый при этом CF>не грузится (открывается пустая страница, которая зацикливается в их долбанутых oauth логин-редиректах).
У меня тоже были проблемы со входом в новый портал, писал в техподдержку MS, со временем починили.
И подписывают сейчас намного быстрее чем раньше (сейчас в среднем минут 10-20, раньше час-полтора).
Re[5]: EV сертификат для подписи драйвера в Windows 10
Здравствуйте, okman, Вы писали:
O>Кстати, сейчас EV нужен только для регистрации аккаунта. O>А далее можно загрузить в профиль обычный (не EV) сертификат и подписывать им cab-архивы.
Интересно, не слышал о таком. До сих пор вся инфа, что мне попадалась, требовала EV-подписи для cab.
Спасибо за инфу, буду иметь в виду.
O>У меня тоже были проблемы со входом в новый портал, писал в техподдержку MS, со временем починили. O>И подписывают сейчас намного быстрее чем раньше (сейчас в среднем минут 10-20, раньше час-полтора).
Видимо, как повезёт. У меня на старом дашборде не более 10 минут заняло подписывание.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[6]: EV сертификат для подписи драйвера в Windows 10
Здравствуйте, Vicul, Вы писали:
V>А вот еще один вопрос по новому сертификату, вы пишите новая подпись будет работать только на 10, на других ОС нет, причина не поддерживаю SHA256.
V>Но на 8 винде эта поддержка есть, а вот на 7 винду ставят специальный патч для этого.
Там не говорится, что причина в SHA256. Причина в том, что соответствующий корневой сертификат считается доверенным только в десятке.
Почему же, ё-моё, ты нигде не пишешь «ё»?
Re[8]: EV сертификат для подписи драйвера в Windows 10
