Как подписать драйвер

По умолчанию все последние версии Windows запрещают устанавливать драйверы устройств, которые не подписаны действительной цифровой подписью. Такие драйверы блокируются системой. Цифровая подпись гарантирует (в некоторой степени), что драйвер был выпущен определенным разработчиком или поставщиком, и его код не был изменен после того, как он был подписан.

Проще говоря, если драйвер подписан, то компьютер считает, что он не менялся после того как его сделали разработчики соответствующего оборудования, и что никакие злые хакеры не вписали в драйвер вредоносный код, который мог бы украсть Ваши пароли или ещё чего плохого натворить.

Как подписать драйвер для работы устройств на Windows 10 или Windows 7

Разных причин отсутствия подписи много, и раз Вы это читаете, то скорее всего столкнулись с одной из таких причин. В этом примере попробуем установить довольно старый драйвер для звуковой карты, для которого уже истек срок активности сертификата. Архив с драйверами был загружен с веб-сайта производителя ноутбуков, укомплектованных соответствующей видеокартой (нам удалось найти версию драйвера для Windows XP). Чтоб было удобнее работать с драйвером, он был перемещён в специально созданную под него папку: c:\drv\ (папка с названием “drv” на диске “C”). Пробуем установить драйвер путем добавления его через консоль в хранилище драйверов, с помощью стандартного инструмента pnputil:
Pnputil –a c:\drv\HDALC2.inf

Для этого впишите “cmd.exe” в поисковой строке рядом с кнопкой “Пуск” и нажмите “Запустить от имени администратора”. Если у Вас на этом этапе открывается окно с предупреждением, нажмите “Да”.
Можете или скопировать адрес из примера и вставить в консоль нажатием правой кнопки мышки, или ввести вручную. Только не забудьте поменять название файла драйвера из примера на название файла Вашего драйвера, а также поменять адрес, если Вы распаковали драйвер в другую папку.

Ожидаемо, получаем ошибку, указывающую на то, что в INF-файле не удаётся обнаружить информацию о цифровой подписи.
То же сообщение мы получим если попробуем нажать на файле драйвера ПКМ и выбрать “Установить”.

Настало время попробовать подписать драйвер свежесозданным сертификатом.

Необходимые инструменты

Чтобы сгенерировать подпись и подписать драйвер, вам необходимо загрузить и установить следующие инструменты разработки приложений (с настройками по умолчанию):

• .NET Framework 4 — нужен для работы нижеуказанных инструментов;
• Windows SDK (можно не скачивать, если у Вас есть Visual Studio 2005 или новее) для вашей версии Windows. В комплект входит набор инструментов для подписания, в котором и находится нужное средство — signtool.exe;
• WDK 7.1.0.

Создание самоподписанного сертификата и приватного ключа

1. Создайте папку “DrvCert” на диске “C”
2. Вернитесь в консоль и введите cd C:\Program Files (x86)\Windows Kits\10\bin\x64\
3. Создайте самоподписанный сертификат командой makecert -r -sv C:\DrvCert\myDrivers.pvk -n CN=»Company» C:\DrvCert\myDrivers.cer , — где вместо «Company» можно ввести любое другое название условной компании, для которой издается сертификат. В процессе Вам нужно будет задать пароль. Возьмём для примера “0rPr0RpR”.
4. Создайте публичный ключ командой cert2spc C:\DrvCert\myDrivers.cer C:\DrvCert\myDrivers.spc
5. Совместите публичный и приватный ключи в сертификате с форматом .pfx с помощью команды pvk2pfx -pvk C:\DrvCert\myDrivers.pvk -pi 0rPr0RpR -spc C:\DrvCert\myDrivers.spc -pfx C:\DrvCert\myDrivers.pfx -po 0rPr0RpR — где в конце тот пароль, который Вы вводили ранее.

Создание Файла Каталога

1. Теперь нужно создать папку C:\DrvCert\hda и скопировать в неё все файлы из папки, в которую первоначально был извлечен драйвер из архива (c:\drv\). Среди этих файлов обязательно должны быть файлы форматов .sys и .inf (в примере: RTKHDAUD.sys и HDALC2.inf).
2. Вернитесь в консоль и введите cd C:\WinDDK\7600.16385.1\bin\selfsign
3. Создайте файл CAT (в нём находится информация о расположении файлов в пакете драйвера) на основе файла INF с помощью средства inf2cat.exe (входит в комплект WDK). Для этого запустите следующую команду: inf2cat.exe /driver:»C:\DrvCert\hda» /os:7_X86 /verbose .

Подписание драйвера

1. Введите cd C:\Program Files (x86)\Windows Kits\10\bin\x64\
2. Теперь набор файлов драйверов нужно подписать сертификатом, который вы создали ранее, используя службу Globalsign.

Следующая команда подпишет файл CAT цифровой подписью, используя сертификат, хранящийся в файле PFX, защищенный введенным ранее паролем: signtool sign /f C:\DrvCert\myDrivers.pfx /p 0rPr0RpR /t http://timestamp.verisign.com/scripts/timstamp.dll /v C:\DrvCert\hda\hda32.cat , где в конце — название .cat файла который появился в папке
Если всё прошло успешно то появится сообщение:
Successfully signed: C:\DrvCert\xg\HDALC2.cat

Установка самоподписанного сертификата

Поскольку созданный только-что сертификат является самоподписанным, по умолчанию система ему не доверяет. Добавьте свой сертификат в хранилище сертификатов локального компьютера:
certmgr.exe -add C:\DrvCert\myDrivers.cer -s -r localMachine ROOT
certmgr.exe -add C:\DrvCert\myDrivers.cer -s -r localMachine TRUSTEDPUBLISHER

Установка драйвера

Вводим команду: Pnputil –i –a C:\DrvCert\hda\HDALC2.inf
Теперь ошибка как при первой попытке не появляется, а вместо неё видим сообщение об успешной установке драйвера.

Поздравляем с успешной установкой!
Можно было и избежать мороки с массой команд и установить драйвер с помощью отключения проверки сертификата, но об этом уже в другой статье.

Как подписать драйвер Windows 10, 8.1 и Windows 7 x64 и x86

Windows 10, 8.1 и Windows 7 позволяют отключить обязательную проверку цифровой подписи драйверов и установить неподписанный драйвер, однако если в последних версиях ОС это нужно сделать на постоянной основе, изменение опций с помощью bcdedit не помогает. Однако, может помочь самостоятельная подпись драйвера и его последующая установка, о чем и поговорим.

В этой инструкции подробно о том, как самостоятельно подписать драйвер для Windows 10, 8.1 или Windows 7 x64 или 32-бит (x86) для последующей установки в системе на постоянной основе без отключения проверки цифровой подписи драйверов, избежав при этом ошибок наподобие «INF стороннего производителя не содержит информации о подписи».

Что потребуется для подписи драйвера

Для того, чтобы выполнить все описанные далее шаги, скачайте и установите следующие инструменты с сайта Майкрософт:

Из первого набора достаточно будет установить Tools, из второго (представляет собой ISO-образ с установщиком, с которого нужно запустить KitSetup.exe) — выбрать Build Environments и Tools.

Обратите внимание: это не последние версии наборов инструментов, но они в равной степени подойдут для самостоятельной подписи драйверов для последующей установки во всех ОС от Windows 10 до Windows 7, при этом в инструкции не потребуется вдаваться в некоторые дополнительные нюансы.

Процесс самостоятельной подписи драйвера

В процессе для того, чтобы подписать драйвер самостоятельно, нам потребуется: создать сертификат, подписать драйвер этим сертификатом, установить сертификат в системе и установить драйвер. Начнем.

1. Создайте в корне диска C какую-либо папку (так к ней проще будет обращаться в дальнейшем), например, C:\cert, где мы будем работать с сертификатами и драйверами.
2. Запустите командную строку от имени администратора (нужны для 18-го шага). Далее используем следующие команды по порядку. Файлы драйвера пока не потребуются. Во время выполнения второй команды вас попросят ввести пароль, я использую password в окне запроса и далее в командах, вы можете использовать свой.
3. До этого этапа всё должно пройти как на скриншоте ниже, командную строку не закрываем.
4. В папке C:\cert создайте вложенную папку, например, drv и поместите туда свои файлы драйвера. Но: если вам требуется драйвер только для x64, не копируйте .inf файл для x86 систем в эту папку и наоборот. В командной строке используем следующие команды:
5. В предыдущей команде для драйвера 32-бит укажите X86 вместо X64. Если будет предложено скачать .NET Framework, согласитесь, установите, а затем заново выполните команду. В идеале вы должны будете получить сообщение об успешном создании .cat файла для подписи. Однако, возможны ошибки, о наиболее частых — следующие два пункта. После исправления ошибок повторите команду из пункта 10.
6. DriverVer set to incorrect date — возникает при дате в файле драйвера до 21 апреля 2009 года. Решение: откройте файл .inf из папки drv в текстовом редакторе (можно в блокноте) и в строке DriverVer установите другую дату (формат: месяц/день/год).
7. Missing AMD64 CatalogFile entry (для 64-бит) или Missing 32-bit CatalogFile entry. Решение: откройте файл .inf из папки drv в текстовом редакторе и в разделе [Version] добавьте строку CatalogFile=catalog.cat
8. В итоге вы должны получить сообщение: Catalog generation complete с указанием пути к файлу каталога, в моем случае – C:\cert\drv\catalog.cat. Далее используем следующие команды (требуется подключение к Интернету).
9. Результат подписи файла драйвера без ошибок на скриншоте ниже. Следующий шаг — добавить самоподписанный сертификат в список доверенных в системе, сделать это можно следующими двумя командами по порядку
10. В результате вы должны получить сообщение «CertMgr Succeeded». Если Failed или certmgr.exe не является внутренней или внешней командой — убедитесь, что командная строка запущена от имени администратора, а вы находитесь в нужной папке (см. 15 шаг).

И вот теперь можно закрыть командную строку и установить драйвер из папки C:\cert\drv с помощью диспетчера устройств, или нажав правой кнопкой по .inf файлу и выбрав пункт «Установить». Потребуется подтвердить установку драйвера в окне «Не удалось проверить издателя этих драйверов» — нажать «Все равно установить этот драйвер».

Обратите внимание, что возможные ошибки в диспетчере устройств, отображаемые для устройства с самостоятельно подписанным драйвером обычно не имеют отношения непосредственно к процессу подписи (та же ошибка для них будет появляться и без подписи, при простом отключении проверки цифровой подписи драйверов в особых вариантах загрузки). Т.е. искать причину в этом случае нужно в чем-то ещё и читать подробную инструкцию по использованию драйвера (например, в случае драйверов для FlashTool).

Как отключить проверку цифровой подписи драйверов в Windows 10

В этой инструкции — три способа отключить проверку цифровой подписи драйвера в Windows 10: один из них работает однократно при загрузке системы, два других отключают проверку подписи драйверов навсегда, но не всегда. Это может пригодиться в тех случаях, когда драйвер не устанавливается, а ОС сообщает, что INF стороннего производителя не содержит информации о подписи или о других проблемах подписи, приводящих к ошибке при установке устройства.

Надеюсь, вы знаете, зачем вам потребовалось отключать эту функцию, потому как такие изменения настроек Windows 10 могут привести к повышению уязвимости системы перед вредоносным ПО. Возможно, существуют иные способы установить драйвер вашего устройства (либо другой драйвер), без отключения проверки цифровой подписи и, если такой способ имеется, лучше воспользоваться им. Если вы хотите серьезно подойти к вопросу, то можно также самостоятельно подписать драйвер цифровой подписью (не для начинающих).

Отключение проверки подписи драйвера с помощью параметров загрузки

Первый способ, отключающий проверку цифровой подписи единожды, при перезагрузке системы и до следующей перезагрузки — использование параметров загрузки Windows 10.

1. Для того, чтобы воспользоваться способом, зайдите в «Параметры» — «Обновление и безопасность» — «Восстановление». Затем, в разделе «Особые варианты загрузки» нажмите «Перезагрузить сейчас».
2. После перезагрузки, пройдите по следующему пути: «Поиск и устранение неисправностей» (или «Диагностика») — «Дополнительные параметры» — «Параметры загрузки» и нажмите кнопку «Перезагрузить».
3. После перезагрузки появится меню выборов параметров, которые будут использоваться в этот раз в Windows 10.
4. Для того, чтобы отключить проверку цифровой подписи драйверов, выберите соответствующий пункт, нажав клавишу 7 или F7 (или Fn+F7 на некоторых ноутбуках).

Готово, после перезагрузки Windows 10 запустится с отключенной проверкой подписи драйверов и вы сможете установить свой драйвер без цифровой подписи.

Видео инструкция по отключению проверки цифровой подписи драйверов

Обычно, даже после перезагрузки в обычном режиме, установленное таким образом устройство продолжает работать, однако в некоторых случаях драйвер слетает и приходится повторять процедуру. Отсюда частый вопрос о том, как отключить проверку цифровой подписи Windows 10 навсегда. К сожалению, это не всегда возможно (но можно подписать драйвер самостоятельно, о чем упоминалось в начале инструкции), тем не менее обычный метод для постоянного отключения описан далее.

С помощью командной строки

Этот способ должен отключить проверку цифровой подписи драйверов навсегда — с использованием командной строки для редактирования параметров загрузки. Ограничения способа: у вас либо должен быть компьютер с BIOS, либо, если у вас UEFI, требуется отключить Secure Boot (это обязательно). К сожалению, в последних версиях Windows 10 описываемое обычно не срабатывает, но попробовать можно.

Действия следующие — запустите командную строку Windows 10 от имени администратора (Как запустить командную строку от имени администратора). В командной строке по порядку введите следующие две команды:

• bcdedit.exe -set loadoptions DISABLE_INTEGRITY_CHECKS
• bcdedit.exe -set TESTSIGNING ON

После того, как обе команды будут выполнены, закройте командную строку и перезагрузите компьютер. Проверка цифровых подписей будет отключена, с одним лишь нюансом: в правом нижнем углу вы будете наблюдать уведомление о том, что Windows 10 работает в тестовом режиме (чтобы убрать надпись и вновь включить проверку, введите в командной строке bcdedit.exe -set TESTSIGNING OFF).

И еще один вариант отключения проверки подписи с помощью bcdedit, который по некоторым отзывам срабатывает лучше (проверка не включается снова автоматически при следующих загрузка Windows 10):

1. Загрузить компьютер в безопасном режиме (см. Как зайти в безопасный режим Windows 10).
2. Открыть командную строку от имени администратора и ввести следующую команду (нажав Enter после нее).
3. bcdedit.exe /set NOINTEGRITYCHECKS ON
4. Перезагрузить Windows 10 в обычном режиме.

В дальнейшем, если требуется снова включить проверку, сделайте это тем же способом, но вместо on в команде используйте off.

Отключение проверки в редакторе локальной групповой политики

Проверку подписи драйверов ранее можно было отключить (на сегодня метод не работает) с помощью редактора локальной групповой политики, однако эта возможность присутствует только в Windows 10 Pro (нет в домашней версии). Для запуска редактора локальной групповой политики, нажмите клавиши Win+R на клавиатуре, а затем введите gpedit.msc в окно «Выполнить», нажмите Enter.

В редакторе перейдите к разделу Конфигурация пользователя — Административные шаблоны — Система — Установка драйвера и дважды кликните по параметру «Цифровая подпись драйверов устройств» в правой части.

Откроется оно с возможными значениями данного параметра. Отключить проверку можно двумя способами:

1. Установить значение «Отключено».
2. Установить значение «Включено», а затем, в разделе «Если Windows обнаруживает файл драйвера без цифровой подписи» установить «Пропустить».

После установки значений, нажмите Ок, закройте редактор локальной групповой политике и перезагрузите компьютер (хотя, в общем-то, должно сработать и без перезагрузки).

А вдруг и это будет интересно:

Почему бы не подписаться?

Рассылка новых, иногда интересных и полезных, материалов сайта remontka.pro. Никакой рекламы и бесплатная компьютерная помощь подписчикам от автора. Другие способы подписки (ВК, Одноклассники, Телеграм, Facebook, Twitter, Youtube, Яндекс.Дзен)

15.03.2019 в 23:17

bcdedit.exe /set nointegritychecks ON
после уходит на восстановление, запускается только, в режиме отключения подписи драйверов

16.03.2019 в 11:24

Не могу объяснить такого поведения, не должно так происходить.. Разве что каким-то образом сразу после отключения проверки подписи и именно при загрузке (при ней же на восстановление уходит?) ставится какой-то сбойный драйвер.

06.07.2020 в 23:38

Попробуйте в БИОСЕ отключить Секюрити бут

16.03.2019 в 20:49

Здравствуйте Дмитрий! Может быть Вам будет интересно.
После обновления Windows с билда 18353 на 18356 на ноутбуке MSI MS-16P6 отключилась видеокарта Intel (R) UHD Graphics 630. (Осталась только NVIDIA GeForce G7X 1050, но она в этой конфигурации не позволяет увеличивать насыщенность цвета). Драйвер вдруг стал неподписанным! Обновление до билда 18358 ничего не изменило.
Групповая политика не помогла, командная строка отказалась выполнять вторую команду, и только параметры загрузки давали результат. Но на один раз! После перезагрузки естественно всё ломалось.
Помогло отключение Serure Boot в UEFI, о чём упоминается в комментариях. Спасибо им и Вам, разумеется!
Ноутбук покупался без системы и все билды до этого шли без проблем.
Кто бы мог подумать, что так может повлиять обновление операционной системы?!

16.08.2019 в 10:40

Спасибо за инструкцию, но виндоус 10 как всегда, все обновила, и теперь картинки совсем другие, искать дольше, люди мучаются, а ваша статья — одна из первых в поисковике. Можете обновить скрины?
п.с. на новых ноутах ни один пункт не работает, все запрещено. остается пока что только одноразовый запуск

16.08.2019 в 10:59

Здравствуйте.
Спасибо, перепроверю скриншоты, обновлю там, где это нужно.

22.08.2019 в 12:38

Здравствуйте. На Win10Ent_1809LTSC_2019_Russian_x64 хорошо срабатывает действие с помощью командной строки от имени администратора : bcdedit -set TESTSIGNING ON с последующей перезагрузкой компьютера. Правда, в правом нижнем углу на экране появляется надпись: Тестовый режим, которую можно срыть при помощи утилиты Universal Watermark Disabler v.1.0.0.6

22.08.2019 в 12:44

Здравствуйте.
Спасибо, что поделились.

05.08.2020 в 12:31

Сделал все дела, какие нужно и вырубаешь тестовый режим bcdedit -set TESTSIGNING OFF …

05.10.2020 в 11:27

С валорантом приходится навсегда отключать, а то у многих, как и у меня не будет запускаться

10.09.2019 в 17:40

В групповой политике нет такого пункта. В командной строке нет доступа к такой команде.

11.09.2019 в 13:14

А Secure Boot в биос предварительно отключили? Что команда в результате выдает? И какую именно команду указываете?

01.11.2019 в 17:36

Здравствуйте, Дмитрий! Вы не поверите но у меня не сработал ни один из перечисленных вами способов. При использовании способа с особыми вариантами загрузки у меня не появляется пронумерованный список с вариантами загрузок. Есть просто список с точкой перед каждым пунктом, но при нажатии на кнопку с действием компьютер не перегружается в режим с активным списком, просто черный экран и всё. Все остальные способы с командами из командной строки тоже не помогают. При выполнении всё успешно, но попытка установить драйвер монитора не увенчивается успехом. Может, всё дело в том, что у меня монитор с VGA подключен к видеокарте через конвертер HDMI/VGA? Но другая модель монитора с подписанным драйвером встаёт без проблем. Помогите, пожалуйста.

10.11.2019 в 21:57

Спасибо большое мне статья помогла отключить цифровую подпись драйвера)

10.01.2020 в 10:45

Чтобы раскрыть «Редактор реестра» используем то же окно «Выполнить» — пишем в строчке
«Открыть» команду regedit и выполняем её. Даём согласие на внесение изменений.
Сначала создадим на всякий случай копию реестра — это будет мера предосторожности.
Если что-то пойдёт не так, вы всегда сможете восстановиться с помощью созданного файла.
Кликаем по меню «Файл», а затем по функции экспорта.

Даём любое имя файлу и сохраняем в любой папке — можно использовать и «Рабочий стол».

Раскрываем третий каталог в левой зоне — HKEY_LOCAL_MACHINE. В нём открываем папку SOFTWARE.

Запускаем вложенные друг в друга блоки с параметрами:
Microsoft — Windows — CurrentVersion — Policies — System.

Находим в конечном каталоге запись EnableLUA — дважды кликаем по ней.
В сером окошке ставим 0 в качестве значения.
Жмём на ОК — закрываем все окна и интерфейсы.
Перезагружаем ПК и открываем ранее заблокированный файл.

15.12.2020 в 18:21

Как относится UAC к данной статье?

29.02.2020 в 19:49

Перепрошиваю андроиды, и вот каждый раз приходится юзать отключение подписи… Тестовый режим результатов не приносит, групповая политика тоже. Боже, какое бомбалейло каждый раз в таких ситуациях, когда с одними только драйверами часа по три проводишь

18.03.2020 в 16:36

Бесполезняк. Не ставится без подписи.

19.03.2020 в 11:20

Вообще должен бы ставиться. Но можно и подписать: https://remontka.pro/sign-driver-windows/

07.04.2020 в 11:19

Спасибо, помогло на win10home, воспользовался загрузкой системы без проверки подписей драйверов.

27.06.2020 в 21:56

используйте первый метод, все остальные нерабочие, драйвер все равно не устанавливается, обязательно нужно отключить подпись драйверов через особые варианты загрузки.

12.02.2021 в 11:56

Здравствуйте , Dmitry. Я увидел в Параметрах загрузки пункт «Отключить ранний запуск антивредоносной защиты» отключил ранний запуск антивредоносного драйвера не здесь , а в загруженной системе ( постоянно руки чешутся у меня что-нибудь отключить ) через командную строку от имени администратора командой
bcdedit /set disableelamdrivers yes
и перезагрузил компьютер . ( всё равно ж Защитник Windows 10 у меня отключен ранее) Как отключение раннего запуска этого драйвера влияет на систему ( например , на скорость загрузки ОС) ? Это ничего страшного, что я его отключил ?

12.02.2021 в 12:12

Здравствуйте.
Не могу сказать: не отключал. Так что только вы можете пронаблюдать)

13.02.2021 в 09:03

Вроде бы ничего особенного не заметил …Но, показалось, что система быстрее загружаться стала … А может это эффект «плацебо» )