SignTool fermato aggiungendo controfirma - cosa succede?

Question

Recentemente ho dovuto affrontare un problema molto strano. Compilazione dei nostri prodotti comprende la firma dei driver in modalità kernel e l'aggiunta di una controfirma. Questo viene fatto usando una chiamata a signtool, incluso nel DDK (ora WDK):

  

"% DDKBASE% \ 6001,18 mila \ bin \ SelfSign \ SignTool.exe"   segno / T    http://timestamp.globalsign.com/scripts/timstamp.dll   /corrente alternata   "Path-to-countercert \ MSCV-GlobalSign.cer"   / S SPC / n "EldoS Corporation" % 1

Tutto ha funzionato bene fino a poco tempo quando abbiamo scoperto che il countercertificate non è solo aggiunta al driver firmato. SignTool non segnala eventuali errori e omette silenziosamente il certificato. La firma in sé e la catena di certificati principale vengono applicate correttamente, ed è solo countercertificate che manca.

SignTool dal WDK successiva (la versione 7600.16385.0) funziona bene utilizzando la stessa riga di comando.

ho cercato di ri-registro capicom.dll, arrivando con SignTool in questione (risiede nella stessa cartella), ma questo non ha aiutato.

Non so se possiamo usare signtool da 7600.16385.0 perché ho la sensazione che potrebbe rompere la compatibilità con Windows 2000. diciamo

Quindi la domanda è se qualcuno ha un'idea di quello che potrebbe avere sbagliato andato?

UPD: Beh, sembra che 7600 signtool funziona bene (ad esempio driver firmati con quella bella versione di lavoro su XP e Windows 7), quindi dovremo seguire questa strada per ora e andrà a sostituire signtool con i nostri strumenti fatti in casa, in futuro, per evitare tali sorprese.

Answer 1

E 'OK per utilizzare la versione 7600.16385.0 di signtool. Sarà ancora lavorare su Windows 2000. Per quanto riguarda i problemi con la versione 6001,18 mila, controllare per vedere se si dispone di più certificati per la vostra azienda nel tuo archivio certificati. Quella sbagliata può essere selezionato.