При подписании кабины сертификатом sha256 EV мы также хотели использовать временную метку sha256. При попытке использовать сервер comodo (где мы получили сертификат EV) мы попробовали:
/ tr http://timestamp.comodoca.com/?td=sha256 / td sha256
и
/ tr http://timestamp.comodoca.com/rfc3161 / td sha256
в обоих случаях кабина подписала нормально, глядя на сертификат, он показывает полную цепочку и показывает, что все в порядке (даже при просмотре с сервера 2008r2)
Драйвер отлично устанавливается на windows 10.
Однако при попытке установить принтер на 2008r2 появляется ужасное красное предупреждение «Недоверенный издатель».
Итак, мы попробовали использовать временную метку SHA1, все остальное осталось прежним, просто удалив параметр / td sha256:
/ tr http://timestamp.comodoca.com/rfc3161
Это, как и ожидалось, подписано нормально, временная метка показывала sha1, а не sha256, и теперь она отлично работает на 2008r2 (как и win 10). Итак, у нас есть кое-что, что работает, но временные метки SHA1 не рекомендуются в дальнейшем, поэтому просто из-за упрямства (поскольку я все равно пытался в течение нескольких дней) я попробовал сервер временных меток symantec:
http://sha256timestamp.ws.symantec.com/sha256/timestamp / td sha256
Кот подписал, это отметка времени sha256, И ЭТО РАБОТАЕТ ?! Работает на 2008r2 и Win10 все нормально. Так здорово! но почему? Я не могу найти никаких подробностей о comodo / sectigo, microsoft или где-либо еще, где говорится, что для подписи драйвера sha256 2008r2 можно использовать только некоторые серверы временных меток. Кажется, что это так? Я что-то упустил? Если нет, то я надеюсь, что приведенная выше информация может спасти кого-то от дней боли, через которые я только что прошел.
О, и у меня есть билет с comodo / sectigo, в котором подробно описано выше, но я не задерживаю дыхание, чтобы получить что-нибудь разумное в ответ!