当使用 sha256 EV 证书签署 cab 时,我们还想使用 sha256 时间戳。当尝试使用 comodo(我们获得 EV 证书的地方)服务器时,我们尝试了:
/trhttp://timestamp.comodoca.com/?td=sha256/td sha256
和
/trhttp://timestamp.comodoca.com/rfc3161/td sha256
在这两种情况下,驾驶室都签署了成功,查看证书时,它显示完整的链并且显示成功(即使从 2008r2 服务器查看)
该驱动程序在 Windows 10 上安装良好。
然而,尝试在 2008r2 上安装打印机时会出现可怕的红色“不受信任的发布者”警告。
因此,我们尝试使用 SHA1 时间戳,其他所有操作均相同,只是删除了 /td sha256 选项:
/trhttp://timestamp.comodoca.com/rfc3161
正如预期的那样,签名没问题,时间戳显示 sha1 而不是 sha256,现在它在 2008r2 上运行良好(以及 win 10 仍然如此)。所以好吧,我们有一个可以工作的东西,但是 SHA1 时间戳不建议继续使用,所以出于固执(因为我已经尝试了好几天)我尝试了 symantec 时间戳服务器:
http://sha256timestamp.ws.symantec.com/sha256/timestamp/td sha256
猫签名了,它是一个 sha256 时间戳,而且它可以工作?!它在 2008r2 和 Win10 上都运行良好。太棒了!但为什么呢?我在 comodo/sectigo 或微软或任何地方都找不到任何详细信息,说只有一些时间戳服务器可用于 sha256 2008r2 驱动程序签名。但看起来是这样吗?我错过了什么吗?如果没有,那么我希望上述信息可以为某人节省我刚刚经历的痛苦。
哦,我确实有一张 comodo/sectigo 的票,详细说明了上述内容,但我并不指望能得到任何合理的回报!