Я осенью уже поднимал вопрос о проблемах, возникших после истечения промежуточного сертификата от GlobalSign. Я им тогда написал, они не ответили, тем временем я путем шаманства с сертификатами и версиями signtool добился исправления цепочки, драйверы стали нормально грузиться под Win10, а проверить в Win7/8 без подключенного отладчика, чтобы проверялась подпись, как-то не дошли руки.

Сегодня пользователь пожаловался, что его Win7x64 считает драйвер неподписанным, и не грузит его. Проверил в своих Win7/8 — то же самое. И Digital Signatures в свойствах файлов SYS/CAT, и signtool verify (с ключом /kp и без него) показывают, что все в порядке. Обновление Win7 для SHA256 стоит и у меня, и у пользователя.

Затем обнаружил, что система не грузит драйвер только в том случае, если нет соединения с интернетом. Если оно есть, то драйвер грузится, хотя предупреждение о неудаче проверки подписи все равно выдается. Если драйвер однажды успешно загрузился, после этого можно отключить интернет, удалить драйвер, и устанавливать его любое количество раз — он будет загружаться, но система будет ругаться на подпись.

Что это вообще за бред? Как такое может получаться?

Для подписи и проверки использую signtool 6.1.7600.16385 (из SDK/WDK от Win7). Уж с семеркой-то оно должно быть совместимо, сколько лет работало-то...

Чем еще можно поискать, где глюк? Получается, что сообщение о неподписанном драйвере выдается не по отказу ядерного загрузчика, а по результатам независимой проверки подписи, а ядерный загрузчик, в свою очередь, пользуется результатами проверки подписи через сеть.