Сегодня получил свежевыпущенный (продленный) EV-сертификат от GlobalSign. Прежний сертификат не отозван, действует до середины августа.
Подписываю новым сертификатом CAB-файл, отправляю в MS Partner Center запрос на Attestation Signing, получаю SignatureValidationFailed без каких-либо пояснений.
Подписываю точно так же, но с прежним сертификатом — все проходит нормально.
Подписывание выполняет скрипт, в котором задаются файл сертификата и контейнер секретного ключа. То есть, все ключи signtool, кросс-сертификат MS и прочее, идентичны. Оба моих сертификата установлены в Personal.
Драйверы, подписанные только моим новым сертификатом, устанавливаются и грузятся в Win7-Win10 (десятка выдает предупреждение, как и должна).
signtool /verify (как с /kp, так и без него) для обоих сертификатов выдает привычный мусор в зависимости от системы, поэтому использовать его для проверки бессмысленно.
То есть, никаких отличий между новым сертификатом и прежним, кроме отказа в аттестации от Partner Center.
Предъявляет ли Partner Center какие-то требования к новизне сертификата? Может ли играть роль то, что он выпущен только вчера, а получен только сегодня? Или оно проверяет только подписи по цепочке?
Ну и должен ли сертификат, которым подписан CAB, соответствовать сертификату, который авторизует меня в Partner Center? MS где-то явно утверждал, что не должен, но вдруг?