« 特電の新しいWebサイト | トップページ | GlobalSignの関連する証明書 »

2017.08.25

GlobalSignのEV証明書でカーネルモード署名した結果

Cosmo-K用のデバイスドライバを作って署名したものの、インストールしようとするとコード52が出てしまうので、困っていました。

Code52_2

Windows10では通常の署名ではだめでEVコードサイニング証明書が必要だと聞いたので、GlobalSignでEVコードサイニング証明書を購入し、試してみたのですが、結果は同じ。

何度やってもコード52が出てしまいます。

signtool sign /v /ac ".\GlobalSign Root CA R3.crt" /a /n "コモンネーム" /tr http://rfc3161timestamp.globalsign.com/standard /td sha256 tkpe2.cat

グローバルサインにサポートを依頼したところ、以下のような回答が得られました。

① まず、信頼されたルート機関と中間証明機関に、GlobalSign Root CA R3.crtが入っていれば削除する。

② 下記の証明書をダウンロードし、signtool.exeと同じ場所に保存する。http://download.microsoft.com/download/2/4/E/24E730E6-C012-448F-92B6-78744D3B77E1/GlobalSign%20Root%20CA.zip

③ 下記の証明書をダウンロードし、中間証明機関にインストールする。

https://jp.globalsign.com/support/docs/r1cross.cer

④ 下記の署名コマンドを実行する。

signtool sign /v /ac "GlobalSign Root CA.crt" /a /n "コモンネーム" /tr http://rfc3161timestamp.globalsign.com/advanced ファイル名

というものでした。

私は証明書の仕組みについてはよくわからないのですが、GlobalSign Root CA R3ではなくGlobalSign Root CAを使うということのようです。すると、いままでの苦労がうそのようにあっさりとインストールできました。

Cosmokdriver

これでsigntool.exe verify /kp /vでベリファイをしてみると、

Verifying: tkpe2.cat

Signature Index: 0 (Primary Signature)
Hash of file (sha1): 95902E95CD49AE5B8924B4D1AFBBC354E19641DB

Signing Certificate Chain:
    Issued to: GlobalSign Root CA
    Issued by: GlobalSign Root CA
    Expires:   Fri Jan 28 21:00:00 2028
    SHA1 hash: B1BC968BD4F49D622AA89A81F2150152A41D829C

        Issued to: GlobalSign
        Issued by: GlobalSign Root CA
        Expires:   Mon Mar 18 19:00:00 2019
        SHA1 hash: 4765557AF418C68A641199146A7E556AA8242996

            Issued to: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
            Issued by: GlobalSign
            Expires:   Sat Jun 15 09:00:00 2024
            SHA1 hash: 87A63D9ADB627D777836153C680A3DFCF27DE90C

                Issued to: Tokushu Denshi Kairo Inc.
                Issued by: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
                Expires:   Thu Aug 23 11:36:18 2018
                SHA1 hash: 9B7F00E95E323928A14CE6FC9C3AE8AB1A745D68

The signature is timestamped: Fri Aug 25 10:15:52 2017
Timestamp Verified by:
    Issued to: GlobalSign Root CA
    Issued by: GlobalSign Root CA
    Expires:   Fri Jan 28 21:00:00 2028
    SHA1 hash: B1BC968BD4F49D622AA89A81F2150152A41D829C

        Issued to: GlobalSign Timestamping CA - G2
        Issued by: GlobalSign Root CA
        Expires:   Fri Jan 28 21:00:00 2028
        SHA1 hash: C0E49D2D7D90A5CD427F02D9125694D5D6EC5B71

            Issued to: GlobalSign TSA for Standard - G3 - 001-02
            Issued by: GlobalSign Timestamping CA - G2
            Expires:   Fri Jan 28 21:00:00 2028
            SHA1 hash: A930E98F04BFE6ED0C64D76DD2FCE37A95979E02

Cross Certificate Chain:
    Issued to: Microsoft Code Verification Root
    Issued by: Microsoft Code Verification Root
    Expires:   Sat Nov 01 22:54:03 2025
    SHA1 hash: 8FBE4D070EF8AB1BCCAF2A9D5CCAE7282A2C66B3

        Issued to: GlobalSign Root CA
        Issued by: Microsoft Code Verification Root
        Expires:   Fri Apr 16 05:05:08 2021
        SHA1 hash: CC1DEEBF6D55C2C9061BA16F10A0BFA6979A4A32

            Issued to: GlobalSign
            Issued by: GlobalSign Root CA
            Expires:   Mon Mar 18 19:00:00 2019
            SHA1 hash: 4765557AF418C68A641199146A7E556AA8242996

                Issued to: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
                Issued by: GlobalSign
                Expires:   Sat Jun 15 09:00:00 2024
                SHA1 hash: 87A63D9ADB627D777836153C680A3DFCF27DE90C

                    Issued to: Tokushu Denshi Kairo Inc.
                    Issued by: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
                    Expires:   Thu Aug 23 11:36:18 2018
                    SHA1 hash: 9B7F00E95E323928A14CE6FC9C3AE8AB1A745D68


Successfully verified: tkpe2.cat

Number of files successfully Verified: 1
Number of warnings: 0
Number of errors: 0
↑GlobalSign Root CA(R3ではない)を使って署名。成功する

さて、いままでの環境でGlobalSign Root CA R3を使って署名したものも同様にverifyで検証してみました。これはインストールに失敗しる場合の署名検証結果です。

Verifying: tkpe2.cat

Signature Index: 0 (Primary Signature)
Hash of file (sha1): 95902E95CD49AE5B8924B4D1AFBBC354E19641DB

Signing Certificate Chain:
    Issued to: GlobalSign Root CA
    Issued by: GlobalSign Root CA
    Expires:   Fri Jan 28 21:00:00 2028
    SHA1 hash: B1BC968BD4F49D622AA89A81F2150152A41D829C

        Issued to: GlobalSign
        Issued by: GlobalSign Root CA
        Expires:   Mon Mar 18 19:00:00 2019
        SHA1 hash: 4765557AF418C68A641199146A7E556AA8242996

            Issued to: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
            Issued by: GlobalSign
            Expires:   Sat Jun 15 09:00:00 2024
            SHA1 hash: 87A63D9ADB627D777836153C680A3DFCF27DE90C

                Issued to: Tokushu Denshi Kairo Inc.
                Issued by: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
                Expires:   Thu Aug 23 11:36:18 2018
                SHA1 hash: 9B7F00E95E323928A14CE6FC9C3AE8AB1A745D68

The signature is timestamped: Fri Aug 25 10:13:50 2017
Timestamp Verified by:
    Issued to: GlobalSign Root CA
    Issued by: GlobalSign Root CA
    Expires:   Fri Jan 28 21:00:00 2028
    SHA1 hash: B1BC968BD4F49D622AA89A81F2150152A41D829C

        Issued to: GlobalSign Timestamping CA - G2
        Issued by: GlobalSign Root CA
        Expires:   Fri Jan 28 21:00:00 2028
        SHA1 hash: C0E49D2D7D90A5CD427F02D9125694D5D6EC5B71

            Issued to: GlobalSign TSA for Standard - G3 - 001-02
            Issued by: GlobalSign Timestamping CA - G2
            Expires:   Fri Jan 28 21:00:00 2028
            SHA1 hash: A930E98F04BFE6ED0C64D76DD2FCE37A95979E02

Cross Certificate Chain:
    Issued to: Microsoft Code Verification Root
    Issued by: Microsoft Code Verification Root
    Expires:   Sat Nov 01 22:54:03 2025
    SHA1 hash: 8FBE4D070EF8AB1BCCAF2A9D5CCAE7282A2C66B3

        Issued to: GlobalSign Root CA
        Issued by: Microsoft Code Verification Root
        Expires:   Fri Apr 16 05:05:08 2021
        SHA1 hash: CC1DEEBF6D55C2C9061BA16F10A0BFA6979A4A32

            Issued to: GlobalSign
            Issued by: GlobalSign Root CA
            Expires:   Mon Mar 18 19:00:00 2019
            SHA1 hash: 4765557AF418C68A641199146A7E556AA8242996

                Issued to: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
                Issued by: GlobalSign
                Expires:   Sat Jun 15 09:00:00 2024
                SHA1 hash: 87A63D9ADB627D777836153C680A3DFCF27DE90C

                    Issued to: Tokushu Denshi Kairo Inc.
                    Issued by: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
                    Expires:   Thu Aug 23 11:36:18 2018
                    SHA1 hash: 9B7F00E95E323928A14CE6FC9C3AE8AB1A745D68


Successfully verified: tkpe2.cat

Number of files successfully Verified: 1
Number of warnings: 0
Number of errors: 0
↑GlobalSign Root CA R3を使って署名した結果。失敗する

次は一度いろいろ削除してからCA R3を使って署名したもの。
なぜか成功しました。

Verifying: tkpe2.cat

Signature Index: 0 (Primary Signature)
Hash of file (sha1): 95902E95CD49AE5B8924B4D1AFBBC354E19641DB

Signing Certificate Chain:
    Issued to: GlobalSign Root CA
    Issued by: GlobalSign Root CA
    Expires:   Fri Jan 28 21:00:00 2028
    SHA1 hash: B1BC968BD4F49D622AA89A81F2150152A41D829C

        Issued to: GlobalSign
        Issued by: GlobalSign Root CA
        Expires:   Mon Mar 18 19:00:00 2019
        SHA1 hash: 4765557AF418C68A641199146A7E556AA8242996

            Issued to: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
            Issued by: GlobalSign
            Expires:   Sat Jun 15 09:00:00 2024
            SHA1 hash: 87A63D9ADB627D777836153C680A3DFCF27DE90C

                Issued to: Tokushu Denshi Kairo Inc.
                Issued by: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
                Expires:   Thu Aug 23 11:36:18 2018
                SHA1 hash: 9B7F00E95E323928A14CE6FC9C3AE8AB1A745D68

The signature is timestamped: Fri Aug 25 10:34:30 2017
Timestamp Verified by:
    Issued to: GlobalSign Root CA
    Issued by: GlobalSign Root CA
    Expires:   Fri Jan 28 21:00:00 2028
    SHA1 hash: B1BC968BD4F49D622AA89A81F2150152A41D829C

        Issued to: GlobalSign Timestamping CA - G2
        Issued by: GlobalSign Root CA
        Expires:   Fri Jan 28 21:00:00 2028
        SHA1 hash: C0E49D2D7D90A5CD427F02D9125694D5D6EC5B71

            Issued to: GlobalSign TSA for Standard - G3 - 001-02
            Issued by: GlobalSign Timestamping CA - G2
            Expires:   Fri Jan 28 21:00:00 2028
            SHA1 hash: A930E98F04BFE6ED0C64D76DD2FCE37A95979E02

Cross Certificate Chain:
    Issued to: Microsoft Code Verification Root
    Issued by: Microsoft Code Verification Root
    Expires:   Sat Nov 01 22:54:03 2025
    SHA1 hash: 8FBE4D070EF8AB1BCCAF2A9D5CCAE7282A2C66B3

        Issued to: GlobalSign
        Issued by: Microsoft Code Verification Root
        Expires:   Thu Jun 05 02:47:53 2025
        SHA1 hash: 814A5BB5E9093011E121E75169008F6F4667363D

            Issued to: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
            Issued by: GlobalSign
            Expires:   Sat Jun 15 09:00:00 2024
            SHA1 hash: 87A63D9ADB627D777836153C680A3DFCF27DE90C

                Issued to: Tokushu Denshi Kairo Inc.
                Issued by: GlobalSign Extended Validation CodeSigning CA - SHA256 - G3
                Expires:   Thu Aug 23 11:36:18 2018
                SHA1 hash: 9B7F00E95E323928A14CE6FC9C3AE8AB1A745D68


Successfully verified: tkpe2.cat

Number of files successfully Verified: 1
Number of warnings: 0
Number of errors: 

↑GlobalSign Root CA R3を使って署名した結果。成功する

違いは何かと考えてみると、失敗するほうはCross Certificate Chainが

        Issued to: GlobalSign Root CA
        Issued by: Microsoft Code Verification Root
        Expires:   Fri Apr 16 05:05:08 2021
        SHA1 hash: CC1DEEBF6D55C2C9061BA16F10A0BFA6979A4A32

            Issued to: GlobalSign
            Issued by: GlobalSign Root CA
            Expires:   Mon Mar 18 19:00:00 2019
            SHA1 hash: 4765557AF418C68A641199146A7E556AA8242996

を通っている、ということくらいでしょうか。

以上のことをGlobalSignに報告したところ、R3ではなくRoot CAを使って署名してほしいとのことでした。

ただ、PCを変えたり、証明書を削除したりインストールしなおしたりすると、検証に通るものができたり通らなくなったりするので、何か原因なのかはわかりません。

証明書のルート証明機関や中間証明機関のストアに何が入っているか、とかいう微妙な条件で証明のルートが変わってしまって、検証に通る署名ができたりできなかったりするのかもしれません。

|

« 特電の新しいWebサイト | トップページ | GlobalSignの関連する証明書 »

コメント

コメントを書く



(ウェブ上には掲載しません)




« 特電の新しいWebサイト | トップページ | GlobalSignの関連する証明書 »