付録 4: ドライバーの署名に関する問題

ドライバーの署名に関する 2 つの既知の問題を以下に示します。

以前の OS での署名の問題

Windows の新しいリリースと、その後にリリースされた Service Pack では、Microsoft 認定 CA ベンダーのルート証明書、新しい証明書を持つ新規または既存のベンダーが OS イメージに追加されます。 たとえば、Vista、XP など、テスト対象のコンピューターがインターネットに接続されていない場合、OS に不明な署名の問題や署名されていないドライバーの問題がある可能性があります。 テスト対象のコンピューターがインターネットに接続されている場合、ドライバーのインストール時に新しい証明書が自動的にダウンロードされ、問題はありません。 テスト対象のコンピューターがインターネットに接続されていない場合、CA ベンダーが問題の解決に役立つ場合もあります。

コード 52 エラー

VeriSign によってリリースされた新しい署名証明書 (SHA256 ハッシュ アルゴリズムを使用) を使用してカタログ ファイル (.cat) が署名されている場合、Windows 7 x64 OS には既知のバグがあります。 署名された cat ファイルを開いて署名を表示し、[詳細] タブを選択すると、次のことがわかります。

この問題を解決するには、SHA1 ハッシュ アルゴリズムで署名された代わりの証明書を無償で提供するように VeriSign に依頼できます。

または、別の SHA1 証明書を購入し、両方の証明書を保持する場合は、次に示すように 2 つの署名でファイルに署名することもできます。 PE ファイルであるため、デュアル署名できるのは .sys ファイルのみであることに注意してください。

Signtool sign /fd sha256 /ac C:\MyCrossCert\Crosscert.cer /s my /n “MyCompany Inc. “ /ph /as /sha1 XX...XX C:\DriverDir\toaster.SYS

XX...XX は、セカンダリ署名に使用している証明書のハッシュです。 タイムスタンプ署名に /tr を追加します。

注: Microsoft セキュリティ アドバイザリ (2880823) 「Microsoft ルート証明書プログラムの SHA-1 ハッシュ アルゴリズムの廃止」を確認してください。ポリシーの変更について説明しています。このポリシーの変更では、Microsoft は、2016 年 1 月 1 日以降、SSL とコード署名の目的では、SHA-1 ハッシュ アルゴリズムを使用してルート証明機関が X.509 証明書を発行することを許可しなくなります。

SHA1 証明書の使用は、2016 年 1 月 1 日以降、Microsoft によって非推奨になります。 すべての CA ベンダーは、SHA256 ハッシュ アルゴリズムを使用して署名証明書を発行する必要があります。

Windows は、2016 年 1 月 1 日以降、タイムスタンプのない SHA1 コード署名証明書の受け入れを停止します。