Signtool error файл не имеет цифровой подписи

Устранение ошибок подписи пакета приложения

Сбой развертывания приложения может быть вызван сбоем проверки цифровой подписи пакета приложения. Узнайте, как распознать эти сбои и что делать с ними.

При развертывании упаковаемого приложения Windows Windows всегда пытается проверить цифровую подпись в пакете приложения. Сбои во время развертывания блока проверки подписи пакета. Но почему пакет не был проверен, может быть неявным. В частности, если вы подписываете пакеты с помощью частных сертификатов для локального тестирования, часто необходимо управлять доверием для этих сертификатов. Неправильная конфигурация доверия сертификатов может привести к сбоям проверки подписи.

Это важно знать

Технологии

Предварительные требования

• Windows журнал событий для диагностики сбоев установки.
• Задачи Certutil для управления сертификатами для манипуляции с хранилищем сертификатов во время устранения неполадок

Инструкции

Шаг 1. Изучение журналов событий для получения диагностических сведений

В зависимости от того, как вы пытались развернуть приложение, возможно, вы не получили значимый код ошибки для сбоя развертывания. В этом случае код ошибки обычно можно получить непосредственно из журналов событий.

Получение кода ошибки из журналов событий

Запустите eventvwr.msc.

Перейдите в раздел Просмотр событий (локальные)>приложения и службы LogsMicrosoft> >Windows.

Первый журнал для проверки — AppxPackagingOMMicrosoft-Windows-AppxPackaging/Operational. >

Ошибки, связанные с развертыванием, записываются в AppXDeployment-ServerMicrosoft-Windows-AppXDeploymentServer/Operational. >

Для ошибок развертывания найдите последнее событие ошибки 404. Это событие ошибки содержит код ошибки и описание причины сбоя развертывания. Если событие ошибки 465 предшествовало событию 404, возникла проблема при открытии пакета.

Если ошибка 465 не произошла, ознакомьтесь с общими сведениями об устранении неполадок, связанных с упаковкой, развертыванием и запросом приложений Windows. В противном случае ознакомьтесь с этой таблицей для распространенных кодов ошибок, которые могут отображаться в строке ошибки для события ошибки 465:

Шаг 2. Определение цепочки сертификатов, используемой для подписи пакета приложения

Чтобы выяснить сертификаты, которым должен доверять локальный компьютер, можно проверить цепочку сертификатов для цифровой подписи в пакете приложения.

Определение цепочки сертификатов

1. В проводник щелкните правой кнопкой мыши пакет приложения и выберите пункт «Свойства«.
2. В диалоговом окне «Свойства» выберите вкладку «Цифровые подписи» , в которой также отображается возможность проверки подписи.
3. В списке подписей выберите подпись и нажмите кнопку «Сведения «.
4. В диалоговом окне сведений о цифровой подписи нажмите кнопку «Просмотреть сертификат «.
5. В диалоговом окне «Сертификат» выберите вкладку «Путь сертификации «.

Верхний сертификат в цепочке — это корневой сертификат, а нижний — сертификат подписи. Если в цепочке находится только один сертификат, сертификат подписи также является собственным корневым сертификатом. Вы можете определить серийный номер для каждого сертификата, который затем используется с Certutil:

Определение серийного номера для каждого сертификата

1. В области пути сертификации выберите сертификат и нажмите кнопку «Просмотреть сертификат«.
2. В диалоговом окне «Сертификат» выберите вкладку «Сведения» , в которой отображается серийный номер и другие полезные свойства сертификата.

Шаг 3. Определение сертификатов, доверенных локальным компьютером

Чтобы иметь возможность развернуть пакет приложения, он должен быть не только доверенным в контексте пользователя, но и в контексте локального компьютера. В результате цифровая подпись может отображаться допустимой при просмотре на вкладке «Цифровые подписи» из предыдущего шага, но при развертывании пакета приложения по-прежнему завершается сбоем.

Чтобы определить, является ли цепочка сертификатов, используемая для подписи пакета приложения, является ли он доверенным локальным компьютером.

Выполните следующую команду:

Выполните следующую команду:

Если не указать серийный номер сертификата, Certutil выводит список всех сертификатов, доверенных локальным компьютером для этого хранилища.

Пакет может не установиться из-за ошибок цепочки сертификатов, даже если сертификат подписи не является самозаверяющим, а корневой сертификат находится в корневом хранилище локального компьютера. В этом случае может возникнуть проблема с доверием для промежуточных центров сертификации. Дополнительные сведения об этой проблеме см. в разделе «Работа с сертификатами».

Если вы определили, что пакет не удалось развернуть, так как сертификат подписи не является доверенным, не устанавливайте пакет, если вы не знаете, где он был создан, и вы доверяете ему.

Если вы хотите вручную доверять приложению для установки (например, для установки собственного пакета приложения, подписанного тестом), вы можете вручную добавить сертификат в доверие к сертификату локального компьютера из пакета приложения.

Добавление сертификата вручную в доверие к сертификату локального компьютера

1. В проводник щелкните правой кнопкой мыши пакет приложения и в всплывающем контекстном меню выберите «Свойства«.
2. В диалоговом окне «Свойства» выберите вкладку «Цифровые подписи «.
3. В списке подписей выберите подпись и нажмите кнопку «Сведения «.
4. В диалоговом окне сведений о цифровой подписи нажмите кнопку «Просмотреть сертификат «.
5. В диалоговом окне «Сертификат» нажмите кнопку «Установить сертификат. «.
6. В мастере импорта сертификатов выберите локальный компьютер и нажмите кнопку «Далее«. Чтобы продолжить, необходимо предоставить права администратора.
7. Выберите «Поместить все сертификаты в следующее хранилище » и перейдите в хранилище «Доверенные люди «.
8. Нажмите кнопку «Далее«, а затем нажмите кнопку «Готово «, чтобы завершить работу мастера.

После этого добавления вручную вы увидите, что сертификат теперь является доверенным в диалоговом окне «Сертификат «.

Сертификат можно удалить после того, как он больше не нужен.

Удаление сертификата

Запустите Cmd.exe от имени администратора.

В командной строке администратора выполните следующую команду:

Найдите серийный номер установленного сертификата. Это число является идентификатором сертификата.

Выполните следующую команду:

Рекомендуется избегать ручного добавления корневых сертификатов в хранилище сертификатов доверенных корневых центров сертификации локального компьютера. Наличие нескольких приложений, подписанных сертификатами, которые связаны с тем же корневым сертификатом, например бизнес-приложениями, могут быть более эффективными, чем установка отдельных сертификатов в хранилище доверенных лиц. Хранилище «Доверенные люди» содержит сертификаты, которые считаются доверенными по умолчанию, поэтому не проверяются более высокими центрами сертификации или списками доверия сертификатов или цепочками. Рекомендации по добавлению сертификатов в хранилище сертификатов доверенных корневых центров сертификации см. в разделе «Рекомендации по подписи кода».

Вопросы безопасности

Добавив сертификат в хранилища сертификатов локальной машины, вы меняете доверие сертификатов всех пользователей на компьютере. Рекомендуется установить все сертификаты подписи кода, которые требуется для тестирования пакетов приложений в хранилище сертификатов доверенных лиц. Немедленно удалите эти сертификаты, когда они больше не нужны, чтобы предотвратить их использование для компрометации доверия системы. Если вы создаете собственные тестовые сертификаты для подписывания пакетов приложений, мы также рекомендуем ограничить привилегии, связанные с тестируемым сертификатом. Сведения о создании тестовых сертификатов для подписывания пакетов приложений см. в статье «Создание сертификата подписи пакета приложения».

Источник

Как подписать драйвер Windows 10, 8.1 и Windows 7 x64 и x86

Windows 10, 8.1 и Windows 7 позволяют отключить обязательную проверку цифровой подписи драйверов и установить неподписанный драйвер, однако если в последних версиях ОС это нужно сделать на постоянной основе, изменение опций с помощью bcdedit не помогает. Однако, может помочь самостоятельная подпись драйвера и его последующая установка, о чем и поговорим.

В этой инструкции подробно о том, как самостоятельно подписать драйвер для Windows 10, 8.1 или Windows 7 x64 или 32-бит (x86) для последующей установки в системе на постоянной основе без отключения проверки цифровой подписи драйверов, избежав при этом ошибок наподобие «INF стороннего производителя не содержит информации о подписи».

Что потребуется для подписи драйвера

Для того, чтобы выполнить все описанные далее шаги, скачайте и установите следующие инструменты с сайта Майкрософт:

Из первого набора достаточно будет установить Tools, из второго (представляет собой ISO-образ с установщиком, с которого нужно запустить KitSetup.exe) — выбрать Build Environments и Tools.

Обратите внимание: это не последние версии наборов инструментов, но они в равной степени подойдут для самостоятельной подписи драйверов для последующей установки во всех ОС от Windows 10 до Windows 7, при этом в инструкции не потребуется вдаваться в некоторые дополнительные нюансы.

Процесс самостоятельной подписи драйвера

В процессе для того, чтобы подписать драйвер самостоятельно, нам потребуется: создать сертификат, подписать драйвер этим сертификатом, установить сертификат в системе и установить драйвер. Начнем.

1. Создайте в корне диска C какую-либо папку (так к ней проще будет обращаться в дальнейшем), например, C:cert, где мы будем работать с сертификатами и драйверами.
2. Запустите командную строку от имени администратора (нужны для 18-го шага). Далее используем следующие команды по порядку. Файлы драйвера пока не потребуются. Во время выполнения второй команды вас попросят ввести пароль, я использую password в окне запроса и далее в командах, вы можете использовать свой.
3. До этого этапа всё должно пройти как на скриншоте ниже, командную строку не закрываем.
4. В папке C:cert создайте вложенную папку, например, drv и поместите туда свои файлы драйвера. Но: если вам требуется драйвер только для x64, не копируйте .inf файл для x86 систем в эту папку и наоборот. В командной строке используем следующие команды:
5. В предыдущей команде для драйвера 32-бит укажите X86 вместо X64. Если будет предложено скачать .NET Framework, согласитесь, установите, а затем заново выполните команду. В идеале вы должны будете получить сообщение об успешном создании .cat файла для подписи. Однако, возможны ошибки, о наиболее частых — следующие два пункта. После исправления ошибок повторите команду из пункта 10.
6. DriverVer set to incorrect date — возникает при дате в файле драйвера до 21 апреля 2009 года. Решение: откройте файл .inf из папки drv в текстовом редакторе (можно в блокноте) и в строке DriverVer установите другую дату (формат: месяц/день/год).
7. Missing AMD64 CatalogFile entry (для 64-бит) или Missing 32-bit CatalogFile entry. Решение: откройте файл .inf из папки drv в текстовом редакторе и в разделе [Version] добавьте строку CatalogFile=catalog.cat
8. В итоге вы должны получить сообщение: Catalog generation complete с указанием пути к файлу каталога, в моем случае – C:certdrvcatalog.cat. Далее используем следующие команды (требуется подключение к Интернету).
9. Результат подписи файла драйвера без ошибок на скриншоте ниже. Следующий шаг — добавить самоподписанный сертификат в список доверенных в системе, сделать это можно следующими двумя командами по порядку
10. В результате вы должны получить сообщение «CertMgr Succeeded». Если Failed или certmgr.exe не является внутренней или внешней командой — убедитесь, что командная строка запущена от имени администратора, а вы находитесь в нужной папке (см. 15 шаг).

И вот теперь можно закрыть командную строку и установить драйвер из папки C:certdrv с помощью диспетчера устройств, или нажав правой кнопкой по .inf файлу и выбрав пункт «Установить». Потребуется подтвердить установку драйвера в окне «Не удалось проверить издателя этих драйверов» — нажать «Все равно установить этот драйвер».

Обратите внимание, что возможные ошибки в диспетчере устройств, отображаемые для устройства с самостоятельно подписанным драйвером обычно не имеют отношения непосредственно к процессу подписи (та же ошибка для них будет появляться и без подписи, при простом отключении проверки цифровой подписи драйверов в особых вариантах загрузки). Т.е. искать причину в этом случае нужно в чем-то ещё и читать подробную инструкцию по использованию драйвера (например, в случае драйверов для FlashTool).

Источник

Цифровая подпись драйвера используется Microsoft для идентификации производителя и подтверждения соответствия продукта требованиям операционной системы. Наличие такого электронного сертификата гарантирует отсутствие в нем изменений, внесенных после выпуска. Таким образом, пользователь получает двойную гарантию безопасности и может быть уверен в работоспособности полученного драйвера.

Проверка подписей

Windows выполняет проверку цифрового сертификата автоматически. Обнаружив его отсутствие, система выдает пользователю предупреждение об опасности установки неподписанного драйвера. Для проверки уже инсталлированных в ОС компонентов можно использовать встроенные инструменты.

Direct X

Драйверы мультимедиа ‒ наиболее часто обновляемые компоненты ОС. Проверить их на наличие сертификата можно с помощью встроенного средства диагностики. Запускаем его командой, показанной на скриншоте.

На основной вкладке ставим галочку в отмеченном поле. Таким образом мы включим автоматическую проверку утилитой сертификатов соответствия.

Переключившись на следующую вкладку, в поле «Драйверы» мы видим положительный ответ системы.

Аналогичным образом проверяем остальные страницы, убеждаясь в наличии сертификата WHQL.

Signature Verification

Выявить наличие в системе всех компонентов без цифровой подписи можно, используя специальную утилиту проверки. Запустим ее, набрав в текстовом поле «sigverif».

Нажимаем отмеченную кнопку для активации процедуры тестирования компонентов.

Завершение верификации несколько изменит вид основного окна утилиты. Нажимаем на выделенную кнопку, чтобы открыть дополнительные параметры.

Выбираем опцию «Просмотр журнала».

В текстовом редакторе запускается отчет о состоянии установленных в системе драйверов. Обозначенная колонка «Состояние» дает информацию о наличии цифрового сертификата WHQL.

Разобравшись с текущим состоянием системы, рассмотрим, как выполнить отключение проверки цифровой подписи драйверов в Windows 10.

Отключение подписи

Поддерживая стабильность ОС, Microsoft не рекомендует устанавливать компоненты, не имеющие сертификатов WHQL, но такая возможность в системе осталась. Необходимость установить неподписанный драйвер может возникнуть по разным причинам. К примеру, это может быть оборудование, снятое с производства, но необходимое для работы.

Групповая политика

Самый простой способ отключить электронную подпись заключается в изменении политики безопасности. Запускаем редактор, используя меню «Выполнить».

В главном окне последовательно разворачиваем подчеркнутые пункты в области навигации. Последний раздел содержит три параметра. Нужный нам выделен рамкой. Открываем его для редактирования.

В управляющем блоке ставим переключатель в положение «Включено». В области параметров используем выпадающее меню. Выбираем пункт, отмеченный цифрой «2». Применяем и сохраняем внесенные изменения.

Заданное правило должно начать действовать без перезагрузки.

Особые параметры загрузки

Следующий способ предполагает использование особых вариантов загрузки операционной системы. Открываем меню параметров Windows и переходим в указанный на скриншоте раздел.

В области навигации перемещаемся к пункту «Восстановление». Используем отмеченную кнопку для перезагрузки системы.

Управление мышью тут доступно, поэтому последовательно начинаем перемещаться по меню. Открываем раздел устранения неисправностей.

Выбираем дополнительные параметры.

Переходим к настройкам загрузки.

Эта область информационная и работает в ней только отмеченная кнопка.

Система переходит в режим низкого разрешения экрана и отключает управление мышью. Нужный нам пункт седьмой в списке. Выбираем его, нажимая управляющую клавишу «F7» в верхнем ряду клавиатуры.

Компьютер перезагрузится, после чего установка неподписанных драйверов в ОС станет доступна.

Режим командной строки

С помощью этого метода можно также отключить проверку цифровой подписи драйвера в Windows 7. Запускаем PowerShell в режиме повышенных прав. Вводим последовательно приведенные на скриншоте команды.

После перезагрузки система не будет сообщать, что ей требуется драйвер с цифровой подписью. Для отключения режима в тексте последней команды указываем «OFF» вместо «ON».

Еще один вариант использования командной строки требует перезагрузки в безопасный режим. Последовательность действий мы уже рассматривали. Добравшись до дополнительных параметров, выбираем обозначенный пункт.

Операционная система еще раз перезагрузится, отобразив командную строку в режиме администратора. Вводим приведенную на скриншоте команду. Для выхода в графическое меню набираем «exit».

Отключение данного режима также выполняется заменой «ON» на «OFF» в конце управляющей команды.

Создание цифровой подписи

В некоторых случаях описанные методы могут не помочь. Когда не отключается проверка подписи драйверов Windows 7 или 10, придется подписать его самостоятельно. Для этой цели нам понадобится распаковать установочный пакет и найти файл с расширением INF. В нем содержится необходимая для инсталляции в системе информация. Найдя нужный файл, вызываем его свойства и переходим на вкладку «Безопасность». Копируем путь, указанный в поле «Имя объекта».

Запускаем PowerShell с повышенными правами. Вводим следующую команду: «pnputil -a C:pathname.inf». Заменяем в ней строку «C:pathname.inf» на скопированный путь к файлу.

В результате ее выполнения выбранный драйвер будет зарегистрирован в системе. Этот же способ подойдет и в том случае, когда постоянно слетает цифровая подпись драйвера.

В заключение

Как мы убедились, существует несколько вариантов установки необходимых компонентов без электронного сертификата WHQL. Действия несложные и могут быть выполнены любым пользователем. Тем не менее, установка неподписанного драйвера не должна быть нормой. Поскольку он не тестировался Microsoft, компания не будет нести ответственность за последствия его установки, а пользователь имеет высокие шансы столкнуться с ошибками BSOD.

I’ve checked out this USB Device Emulation (UDE) project : https://github.com/microsoft/UDE/tree/master/UDEMbimClientSample

The project built properly the driver for x64 target in Release configuration under Visual Studio 19 Community :

1>------ Début de la régénération globale : Projet : hostude, Configuration : Release x64 ------
2>------ Début de la régénération globale : Projet : hostudetest, Configuration : Release x64 ------
1>Building 'hostude' with toolset 'WindowsKernelModeDriver10.0' and the 'Desktop' target platform.
1>Stamping x64Releasehostude.inf
1>Stamping [Version] section with DriverVer=06/28/2020,10.49.21.636
1>C:UsersSCOsourcereposUSB_UDE_SampleUDEFX_hostdriverhostude.inx(19-19): warning 1324: [Version] section should specify PnpLockdown=1.
1>bulkrwr.c
2>Building 'hostudetest' with toolset 'WindowsApplicationForDrivers10.0' and the 'Universal' target platform.
2>dump.c
1>device.c
2>testapp.c
1>driver.c
2>Génération de code en cours...
1>Interrupt.c
1>ioctl.c
1>Génération de code en cours...
2>hostudetest.vcxproj -> C:UsersSCOsourcereposUSB_UDE_SampleUDEFX_hostexex64Releasehostudetest.exe
1>hostude.vcxproj -> C:UsersSCOsourcereposUSB_UDE_SampleUDEFX_hostdriverx64Releasehostude.sys
1>Done Adding Additional Store
1>Successfully signed: C:UsersSCOsourcereposUSB_UDE_SampleUDEFX_hostdriverx64Releasehostude.sys
1>
1>catalog file for x64 release
2>Driver is 'Universal'.
1>.............................................................
1>Signability test complete.
1>
1>Errors:
1>None
1>
1>Warnings:
1>None
1>
1>Catalog generation complete.
1>C:UsersSCOsourcereposUSB_UDE_SampleUDEFX_hostdriverx64Releasekmdfsamples.cat
1>Génération du projet "hostude.vcxproj" terminée.
========== Régénération globale : 2 a réussi, 0 a échoué, 0 a été ignoré ==========

A .cat, .inf and .sys files are generated, as well as a .cer file. I added the latter to Local Machine certificate store in ‘root‘ and ‘trusted publishers‘ using certmgr.msc.

When trying to use devcon to install the driver, I get the indication that «no signature was found in the subject» in the following log devcon lo, then later on that it was not digitally signed :

>>>  [Device Install (UpdateDriverForPlugAndPlayDevices) - USBVID_1209&PID_0887]
>>>  Section start 2020/06/28 09:34:27.873
      cmd: devcon.exe  install hostude.inf "USBVID_1209&PID_0887"
     ndv: INF path: C:UsersSCOsourcereposUSB_UDE_Samplegenereshostude.inf
     ndv: Install flags: 0x00000001
     ndv: {Update Device Driver - ROOTSAMPLE000}
     ndv:      Search options: 0x00000080
     ndv:      Searching single INF 'C:UsersSCOsourcereposUSB_UDE_Samplegenereshostude.inf'
     dvi:      {Build Driver List} 09:34:27.906
     dvi:           Searching for hardware ID(s):
     dvi:                usbvid_1209&pid_0887
     sig:           {_VERIFY_FILE_SIGNATURE} 09:34:27.938
     sig:                Key      = hostude.inf
     sig:                FilePath = c:usersSCOsourcereposusb_ude_samplegenereshostude.inf
     sig:                Catalog  = c:usersSCOsourcereposusb_ude_samplegeneresKmdfSamples.cat
!    sig:                Verifying file against specific (valid) catalog failed.
!    sig:                Error 0x800b0100: No signature was present in the subject.
     sig:           {_VERIFY_FILE_SIGNATURE exit(0x800b0100)} 09:34:27.968
     sig:           {_VERIFY_FILE_SIGNATURE} 09:34:27.969
     sig:                Key      = hostude.inf
     sig:                FilePath = c:usersSCOsourcereposusb_ude_samplegenereshostude.inf
     sig:                Catalog  = c:usersSCOsourcereposusb_ude_samplegeneresKmdfSamples.cat
!    sig:                Verifying file against specific Authenticode(tm) catalog failed.
!    sig:                Error 0x800b0100: No signature was present in the subject.
     sig:           {_VERIFY_FILE_SIGNATURE exit(0x800b0100)} 09:34:27.972
     dvi:           Created Driver Node:
     dvi:                HardwareID   - USBVID_1209&PID_0887
     dvi:                InfName      - c:usersSCOsourcereposusb_ude_samplegenereshostude.inf
     dvi:                DevDesc      - Virtual USB Device for UDE sample
     dvi:                Section      - lxhostude.Dev.NT
     dvi:                Rank         - 0x80ff0000
     dvi:                Signer Score - Not digitally signed
     dvi:                DrvDate      - 06/28/2020
     dvi:                Version      - 9.0.23.397
     dvi:      {Build Driver List - exit(0x00000000)} 09:34:27.976
     dvi:      {DIF_SELECTBESTCOMPATDRV} 09:34:27.977
     dvi:           Default installer: Enter 09:34:27.977
     dvi:                {Select Best Driver}
     dvi:                     Class GUID of device changed to: {78a1c341-4539-11d3-b88d-00c04fad5171}.
     dvi:                     Selected Driver:
     dvi:                          Description - Virtual USB Device for UDE sample
     dvi:                          InfFile     - c:usersSCOsourcereposusb_ude_samplegenereshostude.inf
     dvi:                          Section     - lxhostude.Dev
     dvi:                {Select Best Driver - exit(0x00000000)}
     dvi:           Default installer: Exit
     dvi:      {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 09:34:27.981
     ndv:      Force Installing Driver:
     ndv:           Inf Name       - hostude.inf
     ndv:           Driver Date    - 06/28/2020
     ndv:           Driver Version - 9.0.23.397
     sto:      {Setup Import Driver Package: c:usersSCOsourcereposusb_ude_samplegenereshostude.inf} 09:34:27.984
     inf:           Provider: TODO-Set-Provider
     inf:           Class GUID: {78A1C341-4539-11d3-B88D-00C04FAD5171}
     inf:           Driver Version: 06/28/2020,9.0.23.397
     inf:           Catalog File: KmdfSamples.cat
     sto:           {Copy Driver Package: c:usersSCOsourcereposusb_ude_samplegenereshostude.inf} 09:34:27.990
     sto:                Driver Package = c:usersSCOsourcereposusb_ude_samplegenereshostude.inf
     sto:                Flags          = 0x00000007
     sto:                Destination    = C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}
     sto:                Copying driver package files to 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}'.
     flq:                Copying 'c:usersSCOsourcereposusb_ude_samplegeneresKmdfSamples.cat' to 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}KmdfSamples.cat'.
     flq:                Copying 'c:usersSCOsourcereposusb_ude_samplegenereshostude.inf' to 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.inf'.
     flq:                Copying 'c:usersSCOsourcereposusb_ude_samplegenereshostude.sys' to 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.sys'.
     sto:           {Copy Driver Package: exit(0x00000000)} 09:34:28.010
     pol:           {Driver package policy check} 09:34:28.069
     pol:           {Driver package policy check - exit(0x00000000)} 09:34:28.070
     sto:           {Stage Driver Package: C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.inf} 09:34:28.070
     inf:                {Query Configurability: C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.inf} 09:34:28.076
     inf:                     Driver package uses WDF.
     inf:                     Driver package 'hostude.inf' is configurable.
     inf:                {Query Configurability: exit(0x00000000)} 09:34:28.078
     flq:                Copying 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}KmdfSamples.cat' to 'C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}KmdfSamples.cat'.
     flq:                Copying 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.inf' to 'C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}hostude.inf'.
     flq:                Copying 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.sys' to 'C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}hostude.sys'.
     sto:                {DRIVERSTORE IMPORT VALIDATE} 09:34:28.096
     sig:                     {_VERIFY_FILE_SIGNATURE} 09:34:28.125
     sig:                          Key      = hostude.inf
     sig:                          FilePath = C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}hostude.inf
     sig:                          Catalog  = C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}KmdfSamples.cat
!    sig:                          Verifying file against specific (valid) catalog failed.
!    sig:                          Error 0x800b0100: No signature was present in the subject.
     sig:                     {_VERIFY_FILE_SIGNATURE exit(0x800b0100)} 09:34:28.129
     sig:                     {_VERIFY_FILE_SIGNATURE} 09:34:28.130
     sig:                          Key      = hostude.inf
     sig:                          FilePath = C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}hostude.inf
     sig:                          Catalog  = C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}KmdfSamples.cat
!    sig:                          Verifying file against specific Authenticode(tm) catalog failed.
!    sig:                          Error 0x800b0100: No signature was present in the subject.
     sig:                     {_VERIFY_FILE_SIGNATURE exit(0x800b0100)} 09:34:28.133
!!!  sig:                     Driver package catalog file does not contain a signature, and Code Integrity is enforced.
!!!  sig:                     Driver package failed signature validation. Error = 0xE0000247
     sto:                {DRIVERSTORE IMPORT VALIDATE: exit(0xe0000247)} 09:34:28.135
!!!  sig:                Driver package failed signature verification. Error = 0xE0000247
!!!  sto:                Failed to import driver package into Driver Store. Error = 0xE0000247
     sto:           {Stage Driver Package: exit(0xe0000247)} 09:34:28.137
     sto:      {Setup Import Driver Package - exit (0xe0000247)} 09:34:28.143
!!!  ndv:      Driver package import failed for device.
!!!  ndv:      Error 0xe0000247: A problem was encountered while attempting to add the driver to the store.
     ndv:      Installing NULL driver.
     dvi:      {Plug and Play Service: Device Install for ROOTSAMPLE000}
!    dvi:           Installing NULL driver!
     dvi:           {DIF_ALLOW_INSTALL} 09:34:28.291
     dvi:                Default installer: Enter 09:34:28.292
     dvi:                Default installer: Exit
     dvi:           {DIF_ALLOW_INSTALL - exit(0xe000020e)} 09:34:28.293
     dvi:           {DIF_REGISTER_COINSTALLERS} 09:34:28.293
     dvi:                Default installer: Enter 09:34:28.294
     dvi:                Default installer: Exit
     dvi:           {DIF_REGISTER_COINSTALLERS - exit(0x00000000)} 09:34:28.294
     dvi:           {DIF_INSTALLDEVICE} 09:34:28.295
     dvi:                Default installer: Enter 09:34:28.295
!    dvi:                     Installing NULL driver!
     dvi:                     Install Null Driver: Removing device sub-tree. 09:34:28.297
     dvi:                     Install Null Driver: Removing device sub-tree completed. 09:34:28.300
     dvi:                     Install Null Driver: Restarting device. 09:34:28.304
     dvi:                     Install Null Driver: Restarting device completed. 09:34:28.306
     dvi:                     Device Status: 0x01802401, Problem: 0x1c (0x00000000)
     dvi:                     Install Device: Starting device 'ROOTSAMPLE000'. 09:34:28.307
     dvi:                     Install Device: Starting device completed. 09:34:28.310
     dvi:                Default installer: Exit
     dvi:           {DIF_INSTALLDEVICE - exit(0x00000000)} 09:34:28.311
     ump:      {Plug and Play Service: Device Install exit(00000000)}
     ndv: {Update Device Driver - exit(e0000247)}
!!!  ndv: Failed to install device instance 'ROOTSAMPLE000'. Error = 0xe0000247
<<<  Section end 2020/06/28 09:34:28.316
<<<  [Exit status: FAILURE(0xe0000247)]

Indeed, using the following signtool command line, shows that the file is not signed :

C:UsersSCOsourcereposUSB_UDE_Samplegeneres>"C:Program Files (x86)Windows Kits10bin10.0.19041.0x64signtool.Exe" verify /v /kp /c kmdfsamples.cat hostude.inf

Verifying: hostude.inf
File is signed in catalog: C:UsersSCOsourcereposUSB_UDE_Samplegenereskmdfsamples.cat
Hash of file (sha1): 91E53BD8390C9843F9B856C2138CBF1A6BAFB3EA
SignTool Error: No signature found.
SignTool Error: File not valid: hostude.inf

Number of files successfully Verified: 0
Number of warnings: 0
Number of errors: 1

Unfortunately, when I right click the driver file (hostude.sys), I can see the pane showing the certificate.

What is wrong here ? What could explain the discrepancy ? I’m pretty new into the WDK stuff and can’t explain this to me.

I’ve checked out this USB Device Emulation (UDE) project : https://github.com/microsoft/UDE/tree/master/UDEMbimClientSample

The project built properly the driver for x64 target in Release configuration under Visual Studio 19 Community :

1>------ Début de la régénération globale : Projet : hostude, Configuration : Release x64 ------
2>------ Début de la régénération globale : Projet : hostudetest, Configuration : Release x64 ------
1>Building 'hostude' with toolset 'WindowsKernelModeDriver10.0' and the 'Desktop' target platform.
1>Stamping x64Releasehostude.inf
1>Stamping [Version] section with DriverVer=06/28/2020,10.49.21.636
1>C:UsersSCOsourcereposUSB_UDE_SampleUDEFX_hostdriverhostude.inx(19-19): warning 1324: [Version] section should specify PnpLockdown=1.
1>bulkrwr.c
2>Building 'hostudetest' with toolset 'WindowsApplicationForDrivers10.0' and the 'Universal' target platform.
2>dump.c
1>device.c
2>testapp.c
1>driver.c
2>Génération de code en cours...
1>Interrupt.c
1>ioctl.c
1>Génération de code en cours...
2>hostudetest.vcxproj -> C:UsersSCOsourcereposUSB_UDE_SampleUDEFX_hostexex64Releasehostudetest.exe
1>hostude.vcxproj -> C:UsersSCOsourcereposUSB_UDE_SampleUDEFX_hostdriverx64Releasehostude.sys
1>Done Adding Additional Store
1>Successfully signed: C:UsersSCOsourcereposUSB_UDE_SampleUDEFX_hostdriverx64Releasehostude.sys
1>
1>catalog file for x64 release
2>Driver is 'Universal'.
1>.............................................................
1>Signability test complete.
1>
1>Errors:
1>None
1>
1>Warnings:
1>None
1>
1>Catalog generation complete.
1>C:UsersSCOsourcereposUSB_UDE_SampleUDEFX_hostdriverx64Releasekmdfsamples.cat
1>Génération du projet "hostude.vcxproj" terminée.
========== Régénération globale : 2 a réussi, 0 a échoué, 0 a été ignoré ==========

A .cat, .inf and .sys files are generated, as well as a .cer file. I added the latter to Local Machine certificate store in ‘root‘ and ‘trusted publishers‘ using certmgr.msc.

When trying to use devcon to install the driver, I get the indication that «no signature was found in the subject» in the following log devcon lo, then later on that it was not digitally signed :

>>>  [Device Install (UpdateDriverForPlugAndPlayDevices) - USBVID_1209&PID_0887]
>>>  Section start 2020/06/28 09:34:27.873
      cmd: devcon.exe  install hostude.inf "USBVID_1209&PID_0887"
     ndv: INF path: C:UsersSCOsourcereposUSB_UDE_Samplegenereshostude.inf
     ndv: Install flags: 0x00000001
     ndv: {Update Device Driver - ROOTSAMPLE000}
     ndv:      Search options: 0x00000080
     ndv:      Searching single INF 'C:UsersSCOsourcereposUSB_UDE_Samplegenereshostude.inf'
     dvi:      {Build Driver List} 09:34:27.906
     dvi:           Searching for hardware ID(s):
     dvi:                usbvid_1209&pid_0887
     sig:           {_VERIFY_FILE_SIGNATURE} 09:34:27.938
     sig:                Key      = hostude.inf
     sig:                FilePath = c:usersSCOsourcereposusb_ude_samplegenereshostude.inf
     sig:                Catalog  = c:usersSCOsourcereposusb_ude_samplegeneresKmdfSamples.cat
!    sig:                Verifying file against specific (valid) catalog failed.
!    sig:                Error 0x800b0100: No signature was present in the subject.
     sig:           {_VERIFY_FILE_SIGNATURE exit(0x800b0100)} 09:34:27.968
     sig:           {_VERIFY_FILE_SIGNATURE} 09:34:27.969
     sig:                Key      = hostude.inf
     sig:                FilePath = c:usersSCOsourcereposusb_ude_samplegenereshostude.inf
     sig:                Catalog  = c:usersSCOsourcereposusb_ude_samplegeneresKmdfSamples.cat
!    sig:                Verifying file against specific Authenticode(tm) catalog failed.
!    sig:                Error 0x800b0100: No signature was present in the subject.
     sig:           {_VERIFY_FILE_SIGNATURE exit(0x800b0100)} 09:34:27.972
     dvi:           Created Driver Node:
     dvi:                HardwareID   - USBVID_1209&PID_0887
     dvi:                InfName      - c:usersSCOsourcereposusb_ude_samplegenereshostude.inf
     dvi:                DevDesc      - Virtual USB Device for UDE sample
     dvi:                Section      - lxhostude.Dev.NT
     dvi:                Rank         - 0x80ff0000
     dvi:                Signer Score - Not digitally signed
     dvi:                DrvDate      - 06/28/2020
     dvi:                Version      - 9.0.23.397
     dvi:      {Build Driver List - exit(0x00000000)} 09:34:27.976
     dvi:      {DIF_SELECTBESTCOMPATDRV} 09:34:27.977
     dvi:           Default installer: Enter 09:34:27.977
     dvi:                {Select Best Driver}
     dvi:                     Class GUID of device changed to: {78a1c341-4539-11d3-b88d-00c04fad5171}.
     dvi:                     Selected Driver:
     dvi:                          Description - Virtual USB Device for UDE sample
     dvi:                          InfFile     - c:usersSCOsourcereposusb_ude_samplegenereshostude.inf
     dvi:                          Section     - lxhostude.Dev
     dvi:                {Select Best Driver - exit(0x00000000)}
     dvi:           Default installer: Exit
     dvi:      {DIF_SELECTBESTCOMPATDRV - exit(0x00000000)} 09:34:27.981
     ndv:      Force Installing Driver:
     ndv:           Inf Name       - hostude.inf
     ndv:           Driver Date    - 06/28/2020
     ndv:           Driver Version - 9.0.23.397
     sto:      {Setup Import Driver Package: c:usersSCOsourcereposusb_ude_samplegenereshostude.inf} 09:34:27.984
     inf:           Provider: TODO-Set-Provider
     inf:           Class GUID: {78A1C341-4539-11d3-B88D-00C04FAD5171}
     inf:           Driver Version: 06/28/2020,9.0.23.397
     inf:           Catalog File: KmdfSamples.cat
     sto:           {Copy Driver Package: c:usersSCOsourcereposusb_ude_samplegenereshostude.inf} 09:34:27.990
     sto:                Driver Package = c:usersSCOsourcereposusb_ude_samplegenereshostude.inf
     sto:                Flags          = 0x00000007
     sto:                Destination    = C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}
     sto:                Copying driver package files to 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}'.
     flq:                Copying 'c:usersSCOsourcereposusb_ude_samplegeneresKmdfSamples.cat' to 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}KmdfSamples.cat'.
     flq:                Copying 'c:usersSCOsourcereposusb_ude_samplegenereshostude.inf' to 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.inf'.
     flq:                Copying 'c:usersSCOsourcereposusb_ude_samplegenereshostude.sys' to 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.sys'.
     sto:           {Copy Driver Package: exit(0x00000000)} 09:34:28.010
     pol:           {Driver package policy check} 09:34:28.069
     pol:           {Driver package policy check - exit(0x00000000)} 09:34:28.070
     sto:           {Stage Driver Package: C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.inf} 09:34:28.070
     inf:                {Query Configurability: C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.inf} 09:34:28.076
     inf:                     Driver package uses WDF.
     inf:                     Driver package 'hostude.inf' is configurable.
     inf:                {Query Configurability: exit(0x00000000)} 09:34:28.078
     flq:                Copying 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}KmdfSamples.cat' to 'C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}KmdfSamples.cat'.
     flq:                Copying 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.inf' to 'C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}hostude.inf'.
     flq:                Copying 'C:UsersADM160~1AppDataLocalTemp{c575c0d5-20a9-eb43-ba83-57838dc44c4f}hostude.sys' to 'C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}hostude.sys'.
     sto:                {DRIVERSTORE IMPORT VALIDATE} 09:34:28.096
     sig:                     {_VERIFY_FILE_SIGNATURE} 09:34:28.125
     sig:                          Key      = hostude.inf
     sig:                          FilePath = C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}hostude.inf
     sig:                          Catalog  = C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}KmdfSamples.cat
!    sig:                          Verifying file against specific (valid) catalog failed.
!    sig:                          Error 0x800b0100: No signature was present in the subject.
     sig:                     {_VERIFY_FILE_SIGNATURE exit(0x800b0100)} 09:34:28.129
     sig:                     {_VERIFY_FILE_SIGNATURE} 09:34:28.130
     sig:                          Key      = hostude.inf
     sig:                          FilePath = C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}hostude.inf
     sig:                          Catalog  = C:WINDOWSSystem32DriverStoreTemp{7caccbd7-e000-8346-9111-8852dc2b1d25}KmdfSamples.cat
!    sig:                          Verifying file against specific Authenticode(tm) catalog failed.
!    sig:                          Error 0x800b0100: No signature was present in the subject.
     sig:                     {_VERIFY_FILE_SIGNATURE exit(0x800b0100)} 09:34:28.133
!!!  sig:                     Driver package catalog file does not contain a signature, and Code Integrity is enforced.
!!!  sig:                     Driver package failed signature validation. Error = 0xE0000247
     sto:                {DRIVERSTORE IMPORT VALIDATE: exit(0xe0000247)} 09:34:28.135
!!!  sig:                Driver package failed signature verification. Error = 0xE0000247
!!!  sto:                Failed to import driver package into Driver Store. Error = 0xE0000247
     sto:           {Stage Driver Package: exit(0xe0000247)} 09:34:28.137
     sto:      {Setup Import Driver Package - exit (0xe0000247)} 09:34:28.143
!!!  ndv:      Driver package import failed for device.
!!!  ndv:      Error 0xe0000247: A problem was encountered while attempting to add the driver to the store.
     ndv:      Installing NULL driver.
     dvi:      {Plug and Play Service: Device Install for ROOTSAMPLE000}
!    dvi:           Installing NULL driver!
     dvi:           {DIF_ALLOW_INSTALL} 09:34:28.291
     dvi:                Default installer: Enter 09:34:28.292
     dvi:                Default installer: Exit
     dvi:           {DIF_ALLOW_INSTALL - exit(0xe000020e)} 09:34:28.293
     dvi:           {DIF_REGISTER_COINSTALLERS} 09:34:28.293
     dvi:                Default installer: Enter 09:34:28.294
     dvi:                Default installer: Exit
     dvi:           {DIF_REGISTER_COINSTALLERS - exit(0x00000000)} 09:34:28.294
     dvi:           {DIF_INSTALLDEVICE} 09:34:28.295
     dvi:                Default installer: Enter 09:34:28.295
!    dvi:                     Installing NULL driver!
     dvi:                     Install Null Driver: Removing device sub-tree. 09:34:28.297
     dvi:                     Install Null Driver: Removing device sub-tree completed. 09:34:28.300
     dvi:                     Install Null Driver: Restarting device. 09:34:28.304
     dvi:                     Install Null Driver: Restarting device completed. 09:34:28.306
     dvi:                     Device Status: 0x01802401, Problem: 0x1c (0x00000000)
     dvi:                     Install Device: Starting device 'ROOTSAMPLE000'. 09:34:28.307
     dvi:                     Install Device: Starting device completed. 09:34:28.310
     dvi:                Default installer: Exit
     dvi:           {DIF_INSTALLDEVICE - exit(0x00000000)} 09:34:28.311
     ump:      {Plug and Play Service: Device Install exit(00000000)}
     ndv: {Update Device Driver - exit(e0000247)}
!!!  ndv: Failed to install device instance 'ROOTSAMPLE000'. Error = 0xe0000247
<<<  Section end 2020/06/28 09:34:28.316
<<<  [Exit status: FAILURE(0xe0000247)]

Indeed, using the following signtool command line, shows that the file is not signed :

C:UsersSCOsourcereposUSB_UDE_Samplegeneres>"C:Program Files (x86)Windows Kits10bin10.0.19041.0x64signtool.Exe" verify /v /kp /c kmdfsamples.cat hostude.inf

Verifying: hostude.inf
File is signed in catalog: C:UsersSCOsourcereposUSB_UDE_Samplegenereskmdfsamples.cat
Hash of file (sha1): 91E53BD8390C9843F9B856C2138CBF1A6BAFB3EA
SignTool Error: No signature found.
SignTool Error: File not valid: hostude.inf

Number of files successfully Verified: 0
Number of warnings: 0
Number of errors: 1

Unfortunately, when I right click the driver file (hostude.sys), I can see the pane showing the certificate.

What is wrong here ? What could explain the discrepancy ? I’m pretty new into the WDK stuff and can’t explain this to me.

Помогла ли Вам статья?

Здравствуйте!

Мы являемся разработчиками аппаратного обеспечения. Нам необходимо, чтобы наше оборудование работало под 64-битной версией операционной системы Windows 7, в связи с этим приобрели сертификат VeriSign Class 3 Code Signing.

Вот наш алгоритм подписания:

1) В хранилище сертификатов добавлены наш сертификат и кросс VeriSign_cross.cer (Verisign Class 3 Code Signing 2009-2 CA)

2) Создаем файл каталога:
Inf2Cat.exe /v /driver:drv /os:XP_X64,Vista_X64,7_X64

3) Подписываем
SignTool.exe sign /v /ac VeriSign_cross.cer /s MY /n «HIDDEN» /t http://timestamp.verisign.com/scripts/timstamp.dll drvdriver.cat

4) Проверяем подпись
Signtool.exe verify /kp /v drvdriver.cat

и выдается:

———————————————————————————-

Verifying: drvdriver.cat
Hash of file (sha1): BCA279D100D51538686DAC07DD19450BCBB34FE4

Signing Certificate Chain:
    Issued to: Class 3 Public Primary Certification Authority
    Issued by: Class 3 Public Primary Certification Authority
    Expires:   Wed Aug 02 03:59:59 2028
    SHA1 hash: 742C3192E607E424EB4549542BE1BBC53E6174E2

        Issued to: VeriSign Class 3 Code Signing 2009-2 CA
        Issued by: Class 3 Public Primary Certification Authority
        Expires:   Tue May 21 03:59:59 2019
        SHA1 hash: 12D4872BC3EF019E7E0B6F132480AE29DB5B1CA3

            Issued to: HIDDEN
            Issued by: VeriSign Class 3 Code Signing 2009-2 CA
            Expires:   Thu Jun 30 03:59:59 2011
            SHA1 hash: B6FF93FC58BA00510A960D2FE725858499BC2926

The signature is timestamped: Fri Jul 02 16:03:55 2010
Timestamp Verified by:
    Issued to: Thawte Timestamping CA
    Issued by: Thawte Timestamping CA
    Expires:   Fri Jan 01 03:59:59 2021
    SHA1 hash: BE36A4562FB2EE05DBB3D32323ADF445084ED656

        Issued to: VeriSign Time Stamping Services CA
        Issued by: Thawte Timestamping CA
        Expires:   Wed Dec 04 03:59:59 2013
        SHA1 hash: F46AC0C6EFBB8C6A14F55F09E2D37DF4C0DE012D

            Issued to: VeriSign Time Stamping Services Signer — G2
            Issued by: VeriSign Time Stamping Services CA
            Expires:   Fri Jun 15 03:59:59 2012
            SHA1 hash: ADA8AAA643FF7DC38DD40FA4C97AD559FF4846DE

SignTool Error: Signing Cert does not chain to a Microsoft Root Cert.

Number of files successfully Verified: 0
Number of warnings: 0
Number of errors: 1

———-

windows7x64 отказывается загружать драйвер, ссылаясь на то, что драйвер неподписан.
Что мы делаем не правильно? Пробовали так же подписывать sys файл, но результат тот же