부록 4: 드라이버 서명 문제

두 가지 알려진 드라이버 서명 문제는 아래에 설명되어 있습니다.

이전 OS를 사용하여 서명 문제

모든 새 Windows 릴리스 및 이후에 릴리스된 서비스 팩에서 Microsoft 인증 CA 공급업체의 루트 인증서, 새 인증서가 있는 신규 또는 기존 공급업체가 OS 이미지에 추가됩니다. 예를 들어 Vista, XP 등입니다. 테스트 중인 컴퓨터가 인터넷에 연결되어 있지 않은 경우 OS에 알 수 없는 서명 문제가 있거나 드라이버에 서명되지 않은 문제가 있을 수 있습니다. 테스트 중인 컴퓨터가 인터넷에 연결된 경우 드라이버가 설치될 때 새 인증서가 자동으로 다운로드되며 문제가 발생하지 않습니다. 경우에 따라 CA 공급업체는 테스트 중인 컴퓨터가 인터넷에 연결되지 않은 경우 문제를 해결하는 데 도움을 줄 수 있습니다.

코드 52 오류

SHA256 알고리즘을 사용하는 새 VeriSign 릴리스 서명 인증서를 사용하여 카탈로그 파일(.cat)에 서명하는 경우 Windows 7 x64 OS에 대해 알려진 버그가 있습니다. 서명된 cat 파일을 열고 서명을 보고 세부 정보 탭을 선택하면 다음이 표시됩니다.

이 문제를 해결하려면 VEriSign에 SHA1 해시 알고리즘으로 서명된 비용 없이 대체 인증서를 제공하도록 요청할 수 있습니다.

또는 두 인증서를 모두 유지하려는 경우 다른 SHA1 인증서를 구입하고 아래와 같이 두 개의 서명으로 파일에 서명할 수 있습니다. .sys 파일만 PE 파일이므로 이중 서명될 수 있습니다.

Signtool sign /fd sha256 /ac C:\MyCrossCert\Crosscert.cer /s my /n “MyCompany Inc. “ /ph /as /sha1 XX...XX C:\DriverDir\toaster.SYS

여기서 XX... XX는 보조 서명에 사용하는 인증서의 해시입니다. 타임스탬프 서명에 /tr을 추가합니다.

참고 Microsoft에서 2016년 1월 1일 이후 SSL 및 코드 서명 목적으로 SHA-1 해시 알고리즘을 사용하여 X.509 인증서를 발급할 수 없도록 하는 정책 변경을 설명하는 Microsoft 보안 권고(2880823) "Microsoft 루트 인증서 프로그램용 SHA-1 해시 알고리즘 사용 중단"을 검토하세요.

SHA1 인증서 사용은 2016년 1월 1일부터 Microsoft에서 더 이상 사용되지 않습니다. 모든 CA 공급업체는 SHA256 해시 알고리즘을 사용하여 서명 인증서를 발급해야 합니다.

Windows 2016년 1월 1일 이후에 타임스탬프를 사용하지 않고 SHA1 코드 서명 인증서의 수락을 중지합니다.