如何使用以我自己的CA为根的证书为Windows Vista(及更新版本)签署驱动程序,并让Windows知道特定证书或其所在的CA可以在不启用测试的情况下加载 - 签名模式(bcdedit -set TESTSIGNING ON)?
理由:启用测试签名意味着启用全局任何内容。我不希望这样。我希望对运行的内容进行细粒度的控制。该驱动程序不适合广泛使用,因此我不希望通过全局启用测试签名来打开我的安全措施中的巨大漏洞。据我所知,测试签名基本上归结为检查驱动程序是否完全签名(而不是证书链是否适用于Windows内核)。
注意:我知道Kernel-Mode Code Signing Policy及其陷阱,我也知道如何测试带有测试签名等的驱动程序,所以不需要指出这些。事实上我已经完成了那些事情。我真正感兴趣的是注册我自己的证书或它所在的CA,以便允许与其签名的驱动程序运行。本地系统证书存储区(注册表的一部分,AFAIR)在启动过程的早期似乎不可用,或者没有得到检查。