本帖最后由 WS_Daniel 于 2019-3-15 14:04 编辑
微软计划在2017年1月1日全部停用不安全的SHA-1哈希算法的代码签名证书,沃通积极响应微软的更新计划,提前帮助用户升级SHA-2算法的代码签名证书,(此计划只适用于win7、win8操作系统,win10操作系统请使用EV代码签名证书),更新SHA-2算法的代码签名证书后签名方法有所变化,具体如下: 一、 代码签名证书的安装
2.1 获取代码签名证书成功在沃通申请代码签名证书后,会得到一个有sha256字段的带密码的压缩包文件
,输入证书密码后解压得到两个文件:pfx+MS、pvk+spc,这个是证书的两种格式,解压pfx+MS.zip文件,签名内核需要用到pfx格式的证书。
图1 2.2 解压证书文件打开文件可以看到3个文件。包括交叉根和用户代码签名证书,如图2 图2
二、 三3 内核代码签名
3.1 用SignTool签名工具签名:现在,就可以使用WDK的 SignTool 签名你的文件了。先将您的证书XXX.pfx文件和微软签发的内核签名交叉根证书MS_XS.crt放到签名signtool工具所在目录, 签名命令为:
XP用户:signtool sign /v /ac MS_XS.crt /f xxx.pfx /p 密码 /t http://timestamp.digicert.com my.sys Win7/8用户:signtool sign /v /ac MS_XS.crt /f xxx.pfx /p 密码 /tr http://timestamp.digicert.com my.sys 其中: (1) /ac: 加载内核签名专用交叉根证书,MS_XS.crt 是微软签发的交叉根证书; (2) /f xx.pfx: 加载代码签名证书。请把颁发给你的用户证书放到signtool目录下,或者指定文件路径; (3) /p 密码:申请证书时候设置的密码; (4) /t,/tr: 为代码加上WoSign时间戳,确保签名后的代码永不过期; (5) my.sys:就是您要签名的内核文件,当然可以是其他类型文件,如.dll,.cat, .exe文件,或者指定文件路径; 请注意:签名时,一定要保证能连上互联网,否则由于无法访问时间戳服务器而失败。 签名完成后,如果显示“Successfullysigned and timestamped”(成功签名与加上时间戳),
备注:由于部分win7 sp1(其它win7系统请下载如下补丁先升级到sp1)和windows2008R2没有安装补丁可能导致安装驱动提示错误, 请下载以下链接的补丁进行安装:
|
共 3 个关于关于微软停用SHA-1代码签名的解决方法的回复 最后回复于 2016-10-28 12:00