Подписи драйверов и цифровые сертификаты

Цифровые подписи позволяют администраторам и пользователям, устанавливающим ПО для Windows, получать сведения о подлинности издателя, предоставившего программный пакет. Для установки неподписанных компонентов, работающих в режиме ядра, требуются административные полномочия. Драйверы должны быть подписаны при помощи сертификатов, являющихся доверенными в Windows 7. Сертификаты с подписями надежных издателей хранятся в хранилище сертификатов Доверенные издатели (Trusted Publishers).

Администратор волен утвердить установку неподписанного драйвера или драйвера с подписью, которой нет в хранилище сертификатов от доверенных издателей. Это допустимо, при условии что драйвер устанавливается на тестовый компьютер в ознакомительных целях, а не в целях массового распространения на клиентские компьютеры. Многие драйверы приходят из надежных источников (например, от производителей оборудования), но еще не прошли процесс проверки, результатом которого является цифровая подпись. Не имеют подписи даже некоторые драйверы Майкрософт.

Когда вы или другие администраторы устанавливаете драйверы, авторизация — не проблема. Другое дело, когда вам нужно, чтобы драйвер установили обычные пользователи. Даже после размещения драйвера пользователи не смогут установить его, поскольку утвердить установку драйвера без действительной подписи может только администратор.

Получить самозаверяющий (self-signed) сертификат, действительный в пределах организации, можно только от сервера ЦС под управлением Windows Server с работающими службами сертификации (Certificate Services). Такой сертификат не действителен в другой организации, если между организациями нет доверительных отношений. Даже внутри организации Майкрософт рекомендует применять эту процедуру только в тестовой сети, а в производственной среде устанавливать исключительно драйверы с действительной подписью.

Чтобы подписанный драйвер устройства мог использоваться в других организациях, сертификат должен быть выпущен доверенным внешним ЦС, например, VeriSign. Получить такой сертификат гораздо сложнее.

Чтобы пользователи могли установить драйвер без доверенной подписи, нужно подписать пакет драйвера устройства при помощи цифрового сертификата, а затем доставить сертификат на клиентские компьютеры. Так вы избавите пользователей от необходимости проверять степень надежности издателя или драйвера устройства.

Пакет драйвера устройства должен быть помещен в защищенное хранилище драйверов клиентского компьютера, чтобы обычный пользователь смог установить пакет, не имея административных прав.

Обычно развертывать сертификат на клиентские компьютеры предпочтительно при помощи групповой политики. Она позволяет автоматически устанавливать сертификат на все управляемые компьютеры в домене, подразделении или сайте.

Наличие цифровой подписи — гарантия того, что пакет пришел из заявленного источника (подлинность) без повреждений и изменений (целостность). Цифровой сертификат служит удостоверением организации. Он заслуживает доверия, так как подвергается электронной проверке в центре сертификации.

Общая процедура подписи драйвера устройства такова:

1. Создайте цифровой сертификат в консоли Сертификаты (Certificates) на сервере сертификатов. Кроме того, можете воспользоваться утилитой Make- Cert.

2. Добавьте сертификат в хранилище Доверенные корневые центры сертификации (Trusted Root Certification Authorities). Эта операция выполняется в консоли Сертификаты (Certificates) путем копирования и вставки.

3. Добавьте сертификат в хранилище Доверенные издатели (Trusted Publishers). Это также делается в оснастке Сертификаты (Certificates).

4. Подпишите пакет драйвера устройства при помощи сертификата. Для этого подготовьте INF-файл пакета драйвера, создайте файл каталога для пакета драйвера и подпишите файл каталога с помощью утилиты Signtool.

Поиск по сайту: