Установка драйвера. Не удалось, потому что цепочка для перекрестной подписи не содержит Microsoft

Вы знаете, почему «CORT для проверки кода Microsoft будет отсутствовать в цепочке сертификата подписания?

Мы недавно переместили систему сборки между двумя доменами и должны были повторно установить сертификаты. Мы обнаружили, что у нас была проблема подписания, где Microsoft не была в цепочке, вызывающей отклонение драйверов ядра во время установки.

Мы заметили, что у нас было 2 дополнительных сертификата в CERTMGR: Trusted Publisher: Сертификаты

• Общественная первичная сертификация класса 3.
• VeriSign Class 3 Подписание кода ...

После отключения Первичная сертификация «Проблема» ушла, и у нас есть правильная подписная цепочка с Microsoft сверху.

Я не уверен, как был установлен общественный сертификат класса 3 или то, что мы используем его, и я проверяю, чтобы увидеть, какие влияния мы можем столкнуться.

Кто-нибудь столкнулся с такими проблемами, и как они его подошли? Есть ли способ отключить использование класса-3 в командной строке, чтобы я мог оставить настройку CertMgr, тем самым снижая риск?

Спасибо за помощь

Peter

Команда знака

signtool.exe sign /v /ac MSCV-VSClass3.cer /s TrustedPublisher /n "My Corp" /t http://timestamp.verisign.com/scripts/timstamp.dll mydriver.sys

Проверка знака signtool verify / kp / v mydriver.sys

*** Signing Certificate Chain:
*** Issued to: Class 3 Public Primary Certification Authority
*** Issued by: Class 3 Public Primary Certification Authority
*** Expires:   8/2/2028 7:59:59 PM
*** SHA1 hash: xxxxxxxxxxxxxxxxxx

    Issued to: VeriSign Class 3 Code Signing 2009-2 CA
    Issued by: Class 3 Public Primary Certification Authority
    Expires:   5/20/2019 7:59:59 PM
    SHA1 hash: xxxxxxxxxxxxxxxxxx

        Issued to: My Corp
        Issued by: VeriSign Class 3 Code Signing 2009-2 CA
        Expires:   9/10/2013 8:59:59 PM
        SHA1 hash: xxxxxxxxxxxxxxxxxx