SPCとクロス証明書の署名手順について
投稿者: せれ 投稿日時: 金, 2009/07/10 - 10:24
お世話になります。
署名手順について質問させてください。
現在、Microsoftのカーネル モードのコード署名の手順
http://www.microsoft.com/japan/whdc/winlogo/drvsign/kmcs_walkthrough.msp...
のドキュメントを参考にして、ドライバに署名を行い、64bitPCにインストールすることがで
きています。
しかし、ここに示されている方法では.pvkファイルと.pfxファイルを合成し、個人証明書
ストアにインポートしてしまうので、秘密鍵を厳重管理している意味がなくなってしまい、
管理運用の面で困っています。
SPCを個人証明書ストアにインポートせずにドライバに署名する手順はないのでしょうか。
可能ならば、.pvkファイルと.pfxファイルの合成もやめたいと思っています。
SPC:インポートなし、クロス証明書:インポートの状態で、Signtoolのウィザードを
進めていき、追加の証明書でインポートしたクロス証明書を選択したのですが、一見
署名に成功しているように見えて実際に64bitPCにインストールしようとするとエラーが
出てインストールできませんでした。
どなたかアドバイス等いただければ幸いです。
こんにちは。 ドライ
こんにちは。
ドライバの署名を付与するためには、
「信頼されたルート証明機関の証明書がインストールされたPC」で行う必要があるため、
インポート作業が必要になるのではなかったかと思います。
インポートが必要なのは、署名付加用のPCだけなので、
PCの管理をきちんと行えば、問題ないのではないでしょうか?
私もpoolさんと同感で
私もpoolさんと同感です。
実際の運用上の問題として、せれさんの質問の意図もわからなくはないですが、「証明書」はそもそも、SSL証明書等のように通常はマシンにインストールしたままとして、マシン自体を厳重に管理するような運用をすることを想定しています。
運用上、どうしても困るという場合には、証明書をオフラインのメディアで厳重に管理しておいて、ドライバに署名を行う際にだけ証明書をインストールして、署名が終わったらば直ぐに削除、バックアップも取らない、という手段が考えられます。
署名の手順は変えられません。
pool
pool さん、hidakaさん、どうもありがとうございました
マシン管理を厳重にする方向で進めてみようと思います