Créer un certificat personnalisé pour signer des pilotes sous Windows
Introduction• Ce tutoriel explique comment créer un certificat personnalisé pour signer des pilotes non signés sous Windows. Cette procédure est utile pour garantir la sécurité des pilotes tout en permettant leur installation sur des systèmes nécessitant des signatures numériques.
Prérequis• Un système Windows 10 ou 11 (édition 64 bits).
• Les droits administratifs sur la machine.
• Les outils PowerShell et MakeCert (inclus dans Windows SDK).
Méthodologie• Introduire les deux approches principales :
• Méthode 1 : Création d’un certificat avec MakeCert.
• Méthode 2 : Utilisation de PowerShell pour générer et appliquer un certificat.
Avantages des 2 méthodes• Méthode 1 : Outil dédié avec une gestion précise des certificats.
• Méthode 2 : Intégré à Windows, sans besoin d’installer d’outils supplémentaires.
Inconvénients des 2 méthodes• Méthode 1 : Nécessite le téléchargement et la configuration du SDK Windows.
• Méthode 2 : Moins adaptée pour des environnements complexes nécessitant une gestion fine.
Étapes pour chaque méthode• Méthode 1 : Utilisation de MakeCert
Installez le Windows SDK pour obtenir l’outil MakeCert.
Ouvrez un terminal PowerShell ou Invite de commande en mode Administrateur.
Générez un certificat avec MakeCert :
Code:
MakeCert.exe -r -pe -n "CN=MonCertificat" -ss My -len 2048 -sky signature
Code:
certmgr.msc
Code:
SignTool.exe sign /v /s My /n "MonCertificat" chemin_du_pilote.inf• Méthode 2 : Utilisation de PowerShell
Ouvrez PowerShell en mode Administrateur.
Générez un certificat auto-signé avec la commande suivante :
Code:
New-SelfSignedCertificate -Type CodeSigningCert -Subject "CN=MonCertificat" -CertStoreLocation "Cert:\LocalMachine\My"
Code:
Export-Certificate -Cert (Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Subject -match "MonCertificat"}) -FilePath "C:\certificat.cer"
Code:
SignTool.exe sign /v /s My /n "MonCertificat" chemin_du_pilote.inf
Astuce• Ajoutez le certificat au magasin des autorités racines de confiance pour éviter des erreurs de signature. Cela peut être fait via certmgr.msc ou en ligne de commande.
Mise en garde• N’utilisez les certificats auto-signés qu’en environnement de test. En production, il est recommandé d’utiliser un certificat émis par une autorité de certification reconnue.
Conseil• Conservez une copie sécurisée de votre certificat et de la clé privée associée pour éviter de devoir re-signer les pilotes en cas de perte.
Solution alternative• Envisagez l’utilisation d’un certificat fourni par une autorité de certification comme DigiCert ou GlobalSign pour des besoins professionnels ou à grande échelle.
Références• Microsoft Learn - Installation des pilotes
• Recherche Google
Conclusion• Vous savez désormais comment créer un certificat personnalisé pour signer des pilotes sous Windows. Cela renforce la sécurité tout en permettant d’utiliser des pilotes non signés sur des systèmes nécessitant une signature numérique.
