由於領導不懂行,直接購買了GlobalSign的證書,結果引起了我這個開發人員痛苦的2星期之旅,說說大體情況:
目的:對買來的一個驅動程序進行簽名,使之能夠在Win x64情況下安裝和使用
下載Windows Kits后安裝,得到signtool.exe工具,用它進行簽名。
公司名很快簽上了,但是時間戳死活簽不上,一運行就signtool就崩潰。可是
https://support.globalsign.com/customer/en/portal/articles/1491089
signtool sign /ac MSCrossCert.crt /f CodeSign.pfx /p password1234 /tr http://timestamp.globalsign.com/scripts/timestamp.dll filter.sys
文檔上的例子明明寫了一個例子啊,為啥我就死活運行不了呢?
一開始還以為timestamp.dll寫錯了,應該是timstamp.dll(少了一個e,網上搜索出來的結果都是少e的),還是不行。
最后不得不求助GlobalSign的售后,足足報告了5組測試命令與運行過程的全部情況。結果混蛋的GlobalSign售后看都不看內容,直接發給我已經看過一萬遍的兩個連接(其中第二個鏈接還是針對過時的驅動):
https://support.globalsign.com/customer/en/portal/articles/1491089
https://support.globalsign.com/customer/portal/articles/1217485
這樣來來回回,整整13封郵件,問題還是沒有得到解決。最后還是我發現了一件事情,他們給我的證書是不符合 RFC 3161的,所以必須用/t參數,而不是/tr。同時timestamp.dll拼寫帶e還是不帶e,都是正確的,可是沒人告訴我這件事情啊,讓我疑惑了很久。
時間戳有了,signtool verify /v /kp 也顯示正確無誤,可是我的驅動還是無法使用,一調用就崩潰,一點有用的提示信息都沒有,郁悶啊。。。因為無法判斷出錯原因,反反復復測試自己調用驅動的代碼,試了一遍又一遍,實在是覺得自己的代碼沒問題,而確實是驅動本身的問題。
沒辦法,不能讓驅動本身耽誤開發,先開發業務流程吧。於是啟動windows,按F8,進入“不檢查簽名”模式。
幾天后,一切功能都開發完畢了,在“不檢查簽名模式”下運行良好,於是回到驅動簽名的問題。
Windows正常啟動模式下,死活還是無法安裝驅動啊,更別提我調用的那些功能。
我還把自己的證書、密碼、要簽名的驅動、我簽過名的驅動,全部發給了GlobalSign,要求他們幫我檢查比較一下,問題到底出在哪里,可是他們看都不看(后來研究的結果表明,就是這個證書不能用來簽名驅動,就這么簡單的結果都不願幫我試一下)。。。這服務,絕對差評。
無奈啊,只能在QQ群里求助,因為QQ群是全國范圍的嘛,相關的高手應該都在里面了嘛。至於論壇,雖然也可提問,但是實時性太差,還要注冊論壇什么的,放棄。
最后還是在一位VeriSign的朋友熱心幫助下解決了問題,當場使用各種簽名工具幫我實時測試,很快就有了結果。然后重新向GlobalSign申請內核證書,問題全部搞定。而且據這位VeriSign的朋友說,他們的證書不區分應用級別和內核級別,換而言之,直接就可對驅動簽名。
這里是VeriSign的價格:
http://verisign.ert7.com/quotation.html
另外證書小白們,想節省時間精力、減少郁悶、加快項目開發,可聯系我上面提到的兩位VeriSign的朋友(QQ6220414和QQ1125803355)。
天地良心,我不是他們的托,他們也至今沒有收取我一分錢(沒一年之內必要買2份證書嘛!)。不過這態度和“售后”真沒是沒的說,明年一定買他們家的證書!