Све 64-битне верзије Виндовс-а, почевши од оперативног система Виндовс 7, подразумевано забрањују инсталирање управљачких програма уређаја који нису потписани исправним дигиталним потписом. Неподписани управљачки програми блокирају оперативни систем. Присуство дигиталног потписа гарантује (донекле) да управљачки програм пушта одређени програмер или продавач, а његов код није модификован након потписивања.
У оперативном систему Виндовс 10/7 к64 постоји неколико начина за онемогућавање провере дигиталног потписа инсталираног управљачког програма: коришћење групне политике или режим покретања тест система (за више детаља погледајте чланак Онемогућавање провере дигиталног потписа за инсталирање непотписаних управљачких програма на Виндовс).
Данас показујемо како можете самопотпишите било који непотписани управљачки програм за 64-битну верзију Виндовс 10 или Виндовс 7.
Претпоставимо да имамо управљачки програм за неки уређај за к64 Виндовс 10 или Виндовс 7 који нема дигитални потпис (у нашем примеру то ће бити покретачки програм за прилично стару видео картицу). Архива управљачких програма за нашу верзију Виндовса (успео сам да пронађем управљачки програм за Виндовс Виста к64) преузета је са веб локације произвођача, а њен садржај се отпакује у директорију ц: \ тоолс \ дрв1 \. Покушајмо да инсталирамо управљачки програм тако што ћемо га додати у складиште управљачког програма за Виндовс помоћу стандардног услужног програма пнпутил.
Пнпутил -а "Ц: \ алати \ дрв1 \ кг20гр.инф"
Током инсталације Виндовс 7 ће приказати упозорење да систем не може да верификује дигитални потпис овог управљачког програма.
У Виндовс-у 10 се такво упозорење не појављује, а на конзоли се појављује упозорење да у ИНФ датотеци треће стране нема података о дигиталном потпису.
Када покушавате да инсталирате управљачки програм из Виндовс Екплорера, ако на датотеку инф драјвера кликнете РМБ и изаберете Инсталирај / Инсталирај појавиће се грешка:
ИНФ треће стране не садржи информације о дигиталном потпису.
ИНФ треће стране не садржи податке о потпису.
Покушајмо да потпишемо овај управљачки програм помоћу сопственог потписа.
Садржај:
- Услужни програми потребни за потписивање возача
- Креирајте самопотписан цертификат и приватни кључ
- Генерирање датотеке с управљачким програмима ЦАТ
- Возача потписујемо са сопственим потписом
- Инсталација цертификата
- Инсталирање управљачког програма који је овјерен сопственим потписом
Услужни програми потребни за потписивање возача
Да бисмо радили, морамо да преузмемо и инсталирамо (са подразумеваним подешавањима) следеће алате за програмере апликација за Виндовс.
- Виндовс СДК (или Мицрософт Висуал Студио 2005 или новији) за вашу верзију оперативног система Виндовс - ови пакети укључују алате за потписивање система Виндовс СДК за Десктоп, који укључују услужни програм који нам је потребан - сигнтоол.еке;
- Виндовс Дривер Кит 7.1.0 - ИСО Имаге ГРМВДК_ЕН_7600_1.ИСО величина 649 Мб
Креирајте самопотписан цертификат и приватни кључ
Креирајте директоријум Ц: \ ДриверЦерт у корену диска.
Отворите командну линију и идите на следећи директориј:
цд Ц: \ Програм Филес (к86) \ Мицрософт СДКс \ Виндовс \ в7.1 \ бин
Направите цертификат са сопственим потписом и приватни кључ издат, рецимо, за Винитпро:
макецерт -р -св Ц: \ ДриверЦерт \ миДриверс.пвк -н ЦН = "Винитпро" Ц: \ ДриверЦерт \ МиДриверс.цер
Током креирања, услужни програм ће тражити да наведете лозинку за кључ, нека буде П@сс0врд.
На основу генерисаног сертификата креирајте јавни кључ за сертификат издавача софтвера (ПКЦС).
церт2спц Ц: \ ДриверЦерт \ миДриверс.цер Ц: \ ДриверЦерт \ миДриверс.спц
Комбинујте јавни кључ (.спц) и приватни кључ (.пвк) у једној датотеци сертификата за размену личних података (.пфк).
пвк2пфк -пвк Ц: \ ДриверЦерт \ миДриверс.пвк -пи П @ сс0врд -спц Ц: \ ДриверЦерт \ миДриверс.спц -пфк Ц: \ ДриверЦерт \ миДриверс.пфк -по П @ сс0врд
$ церт = Нев-СелфСигнедЦертифицате -Субјецт "Винитпро" -Типе ЦодеСигнингЦерт -ЦертСтореЛоцатион церт: \ ЛоцалМацхине \ Ми
Затим морате да извозите овај сертификат у пфк датотеку са лозинком:
$ ЦертПассворд = ЦонвертТо-СецуреСтринг -Стринг "П @ сс0врд" -Форце -АсПлаинТект
Екпорт-ПфкЦертифицате -Церт $ церт -ФилеПатх Ц: \ ДриверЦерт \ миДриверс.пфк -Пассворд $ ЦертПассворд
Савет. Иако цертификат има ограничен рок важења, истек цертификата ЦодеСигнинг значи да не можете креирати нове потписе. Важност возача који је већ потписан са овом потврдом је неограничена (или стари потписи важе за наведену временску ознаку).
Генерирање датотеке с управљачким програмима ЦАТ
Креирајте директориј Ц: \Дриверцерт\кг и копирајте у њу све датотеке из директорија у који је архива са управљачким програмом првобитно распакована (ц: \ тоолс \ дрв1 \). Проверите да ли постоје датотеке са екстензијом .сис и .инф (у нашем случају кг20грп.сис и кг20гр).
Идемо у директориј:
цд Ц: \ ВинДДК \ 7600.16385.1 \ бин \ селфсигн
На основу инф датотеке, помоћу услужног програма инф2цат.еке (који се испоручује у комплету Виндовс Дривер Кит -ВДК) генерисаћемо мачку датотеку за нашу платформу (садржи податке о свим датотекама управљачког пакета).
инф2цат.еке / дривер: "Ц: \ ДриверЦерт \ кг" / ос: 7_Кс64 / вербосе
Да бисте били сигурни да је процедура била тачна, проверите да ли су поруке у дневнику:
Испит за потпис завршен.
иГенерација каталога завршена.
Тест сигнализације није успео.
Грешке:
22.9.7: ДриверВер постављен на нетачан датум (мора се одложити до 4/21/2009 за најновији ОС) у \ хдк861а.инф
Да бисте исправили грешку, у одељку [Верзија] пронађите линију са ДриверВер = и замените је са:
ДриверВер = 05.01.2009. 9.9.9.9.9
Након извршења наредбе, г20гр.цат датотека треба да се ажурира у директоријуму управљачких програма
Возача потписујемо са сопственим потписом
Идите у именик:
цд "Ц: \ програмске датотеке (к86) \ Виндовс сетови \ 10 \ бин \ 10.0.17134.0 \ к64"
Потписаћемо скуп датотека са управљачким програмима са сертификатом који смо креирали, као услугу временске ознаке (временску ознаку) користићемо ресурс Глобалсигн. Сљедећа наредба ће дигитално потписати ЦАТ датотеку помоћу цертификата похрањеног у ПФКС датотеци заштићеној лозинком.
знак за знак / ф Ц: \ ДриверЦерт \ миДриверс.пфк / п П @ сс0врд / т хттп://тиместамп.глобалсигн.цом/сцриптс/тимстамп.длл / в "Ц: \ ДриверЦерт \ кг \ кг20гр.цат"
Ако је датотека успешно потписана, требало би да се појави следеће:
Успешно потписан: Ц: \ ДриверЦерт \ кг \ кг20гр.цат
Број успјешно потписаних датотека: 1
СигнТоол верифи / в / па ц: \ ДриверЦерт \ кг \ кг20гр.цат
Лидо у својствима датотека на картици Дигитал Сигнатурес.
ЦАТ датотека садржи дигитални потпис (отисци сличица) свих датотека које се налазе у директоријуму управљачких програма (датотеке које су наведене у ИНФ датотеци у одељку Цопифилес) Ако је било која од ових датотека модификована, контролни зброј датотека се неће подударати с подацима у ЦАТ датотеци, па ће инсталација таквог управљачког програма бити неуспешна..
Инсталација цертификата
Јер цертификат који смо креирали је самопотписан, систем му не верује подразумевано. Додајте наш сертификат у локалну продавницу сертификата. То се може учинити помоћу наредби:
цертмгр.еке -адд Ц: \ ДриверЦерт \ миДриверс.цер -с -р лоцалМацхине РООТ
цертмгр.еке -адд Ц: \ ДриверЦерт \ миДриверс.цер -с -р лоцалМацхине ТРУСТЕДПУБЛИСХЕР
Или из чаробњака за додавање сертификата (сертификат мора бити смештен у складиште) Поуздан Издавачи и Поуздан Роот Сертификација Власти локална машина) У домену, овај сертификат можете централно да дистрибуирате радним станицама помоћу групних полиса.
Напомена. Приликом провере складишта цертификата помоћу услужног програма Сигцхецк, овај ће се цертификат приказати као непоуздан, јер није на листи са списком Мицрософт роот сертификата (ову листу је потребно периодично ажурирати).
Инсталирање управљачког програма који је овјерен сопственим потписом
Покушајмо поново инсталирати управљачки програм који смо потписали покретањем наредбе:
Пнпутил -и -а Ц: \ ДриверЦерт \ кг20 \ кг20гр.инф
Сада се током инсталације управљачког програма неће појавити прозор упозорења о недостајућем дигиталном потпису управљачког програма.
Успешно је инсталиран управљачки програм на уређај у систему.
Пакет драјвера успешно је додан.
У Виндовс-у 7 се појављује ово упозорење. о томе да ли сте сигурни да желите да инсталирате овај управљачки програм (у Виндовс 10 к64 1803 такав скочни прозор се не појављује). Кликом на „Инсталирај", инсталирате управљачки програм у систем.
Ако из неког разлога управљачки програм није инсталиран, у датотеци се налази детаљан дневник инсталације управљачког програма Ц: \ Виндовс\ инф\ сетупапи.дев.записник. Овај дневник ће вам омогућити да добијете детаљније информације о грешци у инсталацији. У већини случајева долази до грешке „Провјера потписа потписа пакета возача“ - највјероватније то значи да возачка потврда није додата поузданим цертификатима.
Ако је инсталација управљачког програма успела, у датотеци сетупапи.дев.лог појавит ће се сљедећи редови:
>>> [Инсталација уређаја (ДиИнсталлДривер) - Ц: \ ВИНДОВС \ Систем32 \ ДриверСторе \ ФилеРепоситори \ кг20гр.инф_амд64_ц5955181485ее80а \ кг20гр.инф] >>> Почетак одељка 2018/07/22 23: 32: 57.015 цмд: Пнпутил -и ац: \ ДриверЦерт \ кг \ кг20гр.инф ндв: Заставе: 0к00000000 ндв: ИНФ стаза: Ц: \ ВИНДОВС \ Систем32 \ ДриверСторе \ ФилеРепоситори \ кг20гр.инф_амд64_ц5955181485ее80а \ кг20гр.инф инф: СетупЦоН ДриверСторе \ ФилеРепоситори \ кг20гр.инф_амд64_ц5955181485ее80а \ кг20гр.инф 23: 32: 57.046 инф: Стил копирања: 0к00000000 инф: Путеви продавнице драјвера: Ц: \ ВИНДОВС \ Систем32 \ ДриверСторе \ ФилеРепоситори \ кг20д14ин_595к14ин_595_фм_ф5г14г_м5204_фм_ф5г14г_м5204_125_125_125_125_127 Инф пут: Ц: \ ВИНДОВС \ ИНФ \ оем23.инф инф: СетупЦопиОЕМИнф излаз (0к00000000) 23: 32: 57.077 <<< Section end 2018/07/22 23:32:57.155 <<< [Exit status: SUCCESS]
Као што видите, да бисмо инсталирали управљачки програм са сопственим потписом, чак нисмо морали да онемогућимо верификацију дигиталног потписа управљачких програма користећи бцдедит.еке, као што је овде описано (команде бцдедит.еке / подеси лоадоптионс ДИСАБЛЕ_ИНТЕГРИТИ_ЦХЕЦКС и бцдедит.еке / подеси тестирање на ОН).
