Windows 10 (11?)SafeNet令牌更新后的已签名驱动程序签名问题

Question

最近，我们用于软件和驱动程序签名的SafeNet身份验证令牌过期了(Symantec)，我们订购了一个新的(现在是Thales，购买了Symantec?)。

过期的一个拥有以下CA：

• VeriSign Class 3公共Primarey证书颁发机构- G5
• Symantec Class 3扩展验证代码签名CA - G2

用户证书的目的是:代码签名。

替换令牌具有以下CA：

• Digicert可信G4代码签名RSA4096 SHA384 2021 CA1
• Digicert可信根G4

用户证书的目的是:代码签名。

与旧的令牌：，我们可以签署驱动程序和目录，并使用这些直接在PC上没有安全启动。我们可以在微软认证这些驱动程序，让他们在电脑上安全启动。

带有新令牌的：我们可以对驱动程序和目录进行签名。我们可以在微软认证这些驱动程序，让它们在(和没有)安全引导的情况下在PC上工作。，但它们不再在没有安全启动的情况下在PC上工作。

设备管理器显示如下：

Windows cannot verify the digital signature for the drivers required
for this device. A recent hardware or software change might have installed
a file that is signed incorrectly or damaged, or that might be malicious
software from an unknown source. (Code 52)

驱动程序本身显示了新的签名：

​

​

还有一个很好的信任链：

​

​

一种在测试PC上仍然有效的方法是禁用使用"bcedit“的驱动程序验证。但我不想强迫测试版测试人员这么做。另外，我不想手动“认证”每一个CI建设.

这破坏了CI基础设施和自动测试环境。

我的问题：

这是使用新代码签名令牌的预期行为吗？

我们收到了一个坏的或不-好的-足够的令牌作为替代？

这是信号工具的命令行：

sign /s MY /sha1 KEY_SHA1 /n "My GmbH" /fd sha256 /tr http://timestamp.digicert.com' driver.sys

我公开地问这个问题，因为我认为在不同的公司里有几个人通过象征性的更新得到了这些问题，我希望这个帖子的答案能帮助他们(和我们)。

再见冈瑟

Answer 1

好的今天我发现：

2021年中期Microsoft废弃的代码签名证书：

https://learn.microsoft.com/en-us/windows-hardware/drivers/install/deprecation-of-software-publisher-certificates-and-commercial-release-certificates#will-we-continue-to-be-able-to-sign-non-driver-code-with-our-existing-3rd-party-issued-certificates-after-2021

非常简短的回答：新证书像我们的新代码签名一样没有交叉签名到“”，也没有提供任何交叉证书链。

因此，我们的签名驱动程序将不会加载在生产Windows。

可能的测试和调试选项：

启用测试签署：

bcdedit /set TESTSIGNING ON

在这种模式下，允许任何有或没有签名的驱动程序。