Сегодня получил свежевыпущенный (продленный) EV-сертификат от GlobalSign. Прежний сертификат не отозван, действует до середины августа.

Подписываю новым сертификатом CAB-файл, отправляю в MS Partner Center запрос на Attestation Signing, получаю SignatureValidationFailed без каких-либо пояснений.

Подписываю точно так же, но с прежним сертификатом — все проходит нормально.

Подписывание выполняет скрипт, в котором задаются файл сертификата и контейнер секретного ключа. То есть, все ключи signtool, кросс-сертификат MS и прочее, идентичны. Оба моих сертификата установлены в Personal.

Драйверы, подписанные только моим новым сертификатом, устанавливаются и грузятся в Win7-Win10 (десятка выдает предупреждение, как и должна).

signtool /verify (как с /kp, так и без него) для обоих сертификатов выдает привычный мусор в зависимости от системы, поэтому использовать его для проверки бессмысленно.

То есть, никаких отличий между новым сертификатом и прежним, кроме отказа в аттестации от Partner Center.

Предъявляет ли Partner Center какие-то требования к новизне сертификата? Может ли играть роль то, что он выпущен только вчера, а получен только сегодня? Или оно проверяет только подписи по цепочке?

Ну и должен ли сертификат, которым подписан CAB, соответствовать сертификату, который авторизует меня в Partner Center? MS где-то явно утверждал, что не должен, но вдруг?