[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Win 7 und selbst signierte Treiberzertifikate (war Re: KVM im Test)

Subject: Re: Win 7 und selbst signierte Treiberzertifikate (war Re: KVM im Test)
From: Markus Hochholdinger <Markus@xxxxxxxxxxxxxxxxx>
Date: Fri, 26 Mar 2010 10:14:18 +0100
To: uugrn@xxxxxxxxxxxxxxx
Hallo Alexander,

Am 25.03.2010 um 22:03 Uhr schrieb Alexander Holler <holler@xxxxxxxxxxxxx>:
> Am 25.03.2010 20:50, schrieb Markus Hochholdinger:
> >> Nebenbei ist dir anscheinend entgangen, dass es fuer ein 64bittiges
> >> Windows keine (vor-)signierten kvm-virtio-treiber gibt. Sprich, man darf
> >> waehlen ob man ein 32bittiges Windows benutzt (mit allen Nachteilen bei
> >> mehr als 3 GB Speicher), man lebt ohne virtio-Treiber, man nutzt das
> >> 64bittige Windows im Testmodus, oder man findet jemand der einem die
> >> Treiber signiert.
> > Hehe, nein :-D ist mir nicht entgangen. Den neuesten Windows Server,
> > namentlich Windows Server 2008 R2, gibt es nurnoch in 64-Bit. Damit muss
> > man sich mit dieser Thematik auseinandersetzen. Mit ca. 8 Befehlen kann
> > man sich einen Treiber selbst signieren und das selbst signierte
> > Zertifikat einbinden, so dass Windows ohne murren damit startet. Leider
> > ist das in den Dokumentationen von 50 Seiten und mehr beschrieben,
> > weshalb das die wenigsten wirklich machen.
> Hmm, hast du die ca. 8 Befehle irgendwo rumfliegen? Ich hab mich ja
> schon mal durch diverse Dokus gekaempft, aber bei Windows 7 funktionieren
> selbstsignierte Treiber meiner Meinung nach nicht mehr. Ich lass mich
> aber gerne eines besseren belehren und wuerde mich freuen, wenn ich
> danach nicht nur die virtio-Treiber zum laufen bekommen wuerde, sondern
> auch libusb und FreeOTFE.

aber gerne doch. Ich bin von 
http://www.linux-kvm.org/page/WindowsGuestDrivers/Download_Drivers auf 
http://www.microsoft.com/whdc/winlogo/drvsign/kmcs_walkthrough.mspx gekommen 
wo ich das Dokument KMCS_Walkthrough.doc gefunden habe. Da steht drin:
1. WDK installieren.
     Alle Befehle sollten von einer privilegierten PowerShell ausgefuehrt
     werden! cygwin bash ueber cygwin openssh hat bei mir leider ueberhaupt
     nicht gut funktioniert :-/
2. Zertifikat erstellen (selbst signiert):
     makecert â??r -pe -ss PrivateCertStore \
       -n CN=Contoso.com(Test) ContosoTest.cer
3. Katalog-Datei erstellen:
     stampinf -f toastpkg.inf -d 09/01/2006 -v 6.0.9999.0
     Inf2cat.exe \
       /driver:C\WinDDK\5739\src\general\toaster\toastpkg\toastcd\ \
       /os:Vista_x64
4. Katalog-Datei signieren:
     Signtool sign /v /s PrivateCertStore /n Contoso.com(Test) \
       /t http://timestamp.verisign.com/scripts/timestamp.dll tstamd64.cat
5. Zertifikat installieren:
     certmgr.exe /add ContosoTest.cer /s /r localMachine root
6. Treiber-Datei signieren
     Signtool sign /v /s PrivateCertStore /n Contoso.com(Test) \
       /t http://timestamp.verisign.com/scripts/timestamp.dll \
       amd64\toaster.sys
7. System vorbereiten (das ist nicht zu verwechseln mit deaktivierter
   Ueberpruefung der Treibersignatur! Soweit ich es verstanden habe sind damit
   selbstsignierte Zertifikate OK):
     bcdedit.exe /set TESTSIGNING ON
8. Treiber installieren und Neustart.

Fuer weiterfuehrende Hinweise und Informationen schau Dir das 
KMCS_Walkthrough.doc an.

Wenn Du so einen Treiber auf einem neu installierten Windows installieren 
willst, musst Du nur 5., 7. und 8. machen. certmgr.exe solltest Du aus dem 
WDK verwenden, das von Windows mitgelieferte kann das Zertifikat nicht 
importieren, es ist ausreichend nur certmgr.exe zu kopieren!


> Ich boote Windows zwar nur noch extrem selten und verweigere inzwischen
> jeglichen Support diesbzgl. (gerade wegen solcher nervigen,
> zeitraubenden HaessÄºichkeiten, die einem nur sinnlos das Leben
> erschweren), aber insbesondere eine funktionierende libusb waere schon nett.

Das interessante, ich habe mich hier eigentlich auch verweigert! Musste aber 
dann doch mit ran weil es keiner hinbekommen hatte. Und glaube mir, meine 
Abneigung zu Microsoft Windows wurde dadurch nur mal wieder bestaetigt und 
groesser.


-- 
Gruss
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus@xxxxxxxxxxxxxxxxx             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
Ich will die Welt veraendern,                           \_)    ) /
aber Gott gibt mir den Quelltext nicht!                      (_/



-- 
UUGRN e.V. http://www.uugrn.org/
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: https://wiki.uugrn.org/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/