Windows KMDF 自签名：一步一步指南

在 Windows KMDF 中实现自签名：深入指南

简介

在 Windows 内核模式驱动程序框架 (KMDF) 中进行自签名是一个必要的过程，可以让你在开发和测试阶段绕过 Windows 安全限制。本文将提供一个分步指南，教你如何在 Windows KMDF 中成功地对驱动程序进行自签名。

自签名证书：什么是、为什么

自签名证书是由你自己颁发机构签名的证书。它允许你在没有经过验证的证书颁发机构 (CA) 认证的情况下，对自己的驱动程序进行签名。自签名证书对于开发和测试非常有用，因为它可以绕过 Windows 对未签名驱动程序的限制。

如何创建和安装自签名证书

创建自签名证书

1. 打开命令提示符。
2. 执行以下命令：

makecert -r -sv MyRootCert.pvk MyRootCert.cer

其中，MyRootCert.pvk 是私钥文件，MyRootCert.cer 是证书文件。

安装自签名证书

1. 打开证书管理器 (certmgr.msc)。
2. 右键单击“受信任的根证书颁发机构”文件夹，选择“所有任务”>“导入”。
3. 浏览到 MyRootCert.cer 证书并将其导入。

对驱动程序进行签名

使用 Signtool

Signtool 是一个命令行工具，用于对驱动程序进行签名。执行以下命令：

signtool sign /n "My Self-Signed Certificate" /v MyDriver.sys

其中，MyDriver.sys 是驱动程序文件。

安装已签名的驱动程序

使用 sc 命令安装已签名的驱动程序：

sc create MyDriver type= kernel start= auto binPath= MyDriver.sys

注意事项

• 确保禁用安全启动。
• 自签名证书不会被 Windows 完全信任。
• 在生产环境中，建议使用经过验证的 CA 签名的证书。

结论

通过按照本指南中的步骤，你可以在 Windows KMDF 中成功地对驱动程序进行自签名。请记住，自签名证书具有一定的局限性，因此在使用时应谨慎。

常见问题解答

1. 为什么我的自签名驱动程序无法在 Windows 10 上运行？

答：确保你已禁用安全启动并设置“测试签名”为“关闭”。

2. 我可以使用自签名证书对其他应用程序进行签名吗？

答：是的，但自签名证书不会被 Windows 完全信任。

3. 我可以安全地将自签名证书用于生产环境吗？

答：不建议这样做。建议使用经过验证的 CA 签名的证书。

4. 如何查看已安装的自签名证书？

答：打开证书管理器并查看“受信任的根证书颁发机构”文件夹。

5. 自签名证书有什么缺点？

答：自签名证书不会被 Windows 完全信任，某些功能可能不可用。