Signtool a cessé d'ajouter contreseing - Quoi de neuf?

Question

J'ai récemment fait face à un problème très étrange. Compilation de nos produits comprend la signature des pilotes en mode noyau et l'ajout d'un contreseing. Cela se fait au moyen d'un appel à signtool, inclus dans le DDK (maintenant WDK):

  

"% DDKBASE% \ 6001,18000 \ bin \ SelfSign \ SignTool.exe"   signer / T    http://timestamp.globalsign.com/scripts/timstamp.dll   / ac   "Path-to-countercert \ MSCV-GlobalSign.cer"   / CPS / n "EldoS Corporation" % 1

Tout fonctionnait bien jusqu'à récemment quand nous avons découvert que le countercertificate est tout simplement pas ajouté au pilote signé. signtool ne signale pas d'erreurs et omet silencieusement le certificat. La signature elle-même et principale chaîne de certificats sont correctement appliqués, et il est seulement countercertificate qui manque.

SignTool du WDK plus tard (version 7600.16385.0) fonctionne très bien en utilisant la même ligne de commande.

J'ai essayé de capicom.dll réinscrire, venir avec signtool en question (il se trouve dans le même dossier), mais cela n'a pas aidé.

Je ne sais pas si nous pouvons utiliser signtool de 7600.16385.0 parce que j'ai le sentiment qu'il pourrait briser la compatibilité avec par exemple Windows 2000.

La question est de savoir si quelqu'un a une idée de ce qui pourrait avoir mal tourné?

MaJ: Eh bien, il semble que 7600 signtool fonctionne très bien (par exemple les pilotes signés avec ce travail version bien sur XP et Windows 7), nous allons donc suivre cette voie pour l'instant et remplacera signtool avec nos propres outils maison à l'avenir pour éviter de telles surprises.

Answer 1

Il est correct d'utiliser la version 7600.16385.0 de signtool. Il continuera à fonctionner sur Windows 2000. En ce qui concerne les problèmes avec la version 6001,18000, vérifiez si vous disposez de plusieurs certificats pour votre entreprise dans votre magasin de certificats. Le mauvais peut être sélectionné.