Rutoken S, Устаревший сертификат

Конец setupapi.dev.log

>>>  [Setup Import Driver Package - C:\Windows\system32\Aktiv Co\rtIFDH\rtIFDH.inf]
>>>  Section start 2022/07/26 08:02:58.194
      cmd: C:\Windows\System32\MsiExec.exe -Embedding 72BA3B2E4FA23612E1F7692FB41DD777 E Global\MSI0000
     inf: Provider: Aktiv Co.
     inf: Class GUID: {50dd5230-ba8a-11d1-bf5d-0000f805f530}
     inf: Driver Version: 02/27/2012,2.26.0.0
     inf: Catalog File: rtIFDH.cat
     ump: Import flags: 0x00000021
     pol: {Driver package policy check} 08:02:58.265
     pol: {Driver package policy check - exit(0x00000000)} 08:02:58.265
     sto: {Stage Driver Package: C:\Windows\system32\Aktiv Co\rtIFDH\rtIFDH.inf} 08:02:58.268
     inf:      {Query Configurability: C:\Windows\system32\Aktiv Co\rtIFDH\rtIFDH.inf} 08:02:58.283
     inf:           Driver package 'rtIFDH.inf' is configurable.
     inf:      {Query Configurability: exit(0x00000000)} 08:02:58.293
     flq:      {FILE_QUEUE_COMMIT} 08:02:58.298
     flq:           Copying 'C:\Windows\system32\Aktiv Co\rtIFDH\rtIFDH.sys' to 'C:\Windows\System32\DriverStore\Temp\{bc287e41-eff8-ea48-af0b-35bcf2955701}\rtIFDH.sys'.
     flq:           Copying 'C:\Windows\system32\Aktiv Co\rtIFDH\rtIFDH.cat' to 'C:\Windows\System32\DriverStore\Temp\{bc287e41-eff8-ea48-af0b-35bcf2955701}\rtIFDH.cat'.
     flq:           Copying 'C:\Windows\system32\Aktiv Co\rtIFDH\rtIFDH.inf' to 'C:\Windows\System32\DriverStore\Temp\{bc287e41-eff8-ea48-af0b-35bcf2955701}\rtIFDH.inf'.
     flq:      {FILE_QUEUE_COMMIT - exit(0x00000000)} 08:02:58.388
     sto:      {DRIVERSTORE IMPORT VALIDATE} 08:02:58.396
     sig:           Driver package catalog is valid.
     sig:           {_VERIFY_FILE_SIGNATURE} 08:02:58.948
     sig:                Key      = rtIFDH.inf
     sig:                FilePath = C:\Windows\System32\DriverStore\Temp\{bc287e41-eff8-ea48-af0b-35bcf2955701}\rtIFDH.inf
     sig:                Catalog  = C:\Windows\System32\DriverStore\Temp\{bc287e41-eff8-ea48-af0b-35bcf2955701}\rtIFDH.cat
!    sig:                Verifying file against specific (valid) catalog failed.
!    sig:                Error 0x800b0109: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider.
     sig:           {_VERIFY_FILE_SIGNATURE exit(0x800b0109)} 08:02:59.013
     sig:           {_VERIFY_FILE_SIGNATURE} 08:02:59.030
     sig:                Key      = rtIFDH.inf
     sig:                FilePath = C:\Windows\System32\DriverStore\Temp\{bc287e41-eff8-ea48-af0b-35bcf2955701}\rtIFDH.inf
     sig:                Catalog  = C:\Windows\System32\DriverStore\Temp\{bc287e41-eff8-ea48-af0b-35bcf2955701}\rtIFDH.cat
!    sig:                Verifying file against specific Authenticode(tm) catalog failed.
!    sig:                Error 0x800b010a: A certificate chain could not be built to a trusted root authority.
     sig:           {_VERIFY_FILE_SIGNATURE exit(0x800b010a)} 08:02:59.071
!!!  sig:           Driver package catalog file certificate does not chain to a root, and Code Integrity is enforced.
!!!  sig:           Driver package failed signature validation. Error = 0xE0000247
     sto:      {DRIVERSTORE IMPORT VALIDATE: exit(0xe0000247)} 08:02:59.083
!!!  sig:      Driver package failed signature verification. Error = 0xE0000247
!!!  sto:      Failed to import driver package into Driver Store. Error = 0xE0000247
     sto: {Stage Driver Package: exit(0xe0000247)} 08:02:59.101
<<<  Section end 2022/07/26 08:02:59.112
<<<  [Exit status: FAILURE(0xe0000247)]


И действительно, дайжесты rtIFDH.* подписаны сертификатом Microsoft Compatibility Publisher, который кончился в 2013 году. Пресловутый untrusted root, по-видимому Microsoft Root Authority, кончился в 2020

Это для Рутокен S standalone. Rutoken ECP который у меня тоже есть, встал нормально на другой машине.

Re: Rutoken S, Устаревший сертификат

Андрей Мучкин, добрый день.
Уточните, пожалуйста, на какую ОС вы устанавливаете драйвера Рутокен?

Андрей Мучкин пишет:

Rutoken ECP который у меня тоже есть, встал нормально на другой машине.

Драйвера Рутокен установились? Или Рутокен ЭЦП определился в системе?

Re: Rutoken S, Устаревший сертификат

Аверченко Кирилл пишет:

Андрей Мучкин, добрый день.
Уточните, пожалуйста, на какую ОС вы устанавливаете драйвера Рутокен?

Андрей Мучкин пишет:

Rutoken ECP который у меня тоже есть, встал нормально на другой машине.

Драйвера Рутокен установились? Или Рутокен ЭЦП определился в системе?

Каюсь, наврал. Не встал Rutoken ECP 2.0. Встал на другой машине Rutoken CP (кажись, купленное в пакете с КриптоПро?)

Нет, софт в "Актив Ко" не встал, но определить тип можно "Рутокен логином" вроде, даже и без лицензии. В принципе, проблема не нова, но ранее не удавалось получить внятно момент с которого начинается откат инсталляции.  Оказывается, просто старый сертификат на дайджесте .inf/.cat Видно? Система 10-я Винда. Даже если ваш софт не встал официально, можно вручную скормить Модзилле .rt*.dll и использовать как NSS security device.

Re: Rutoken S, Устаревший сертификат

Андрей Мучкин, обновления на Windows 10 установлены?
Можете прислать полный лог установки?
Компьютер в домене? Есть какие-либо политики проверки подлинности?
Изоляция ядра в системе включена? Проверить можно по инструкции https://dev.rutoken.ru/display/KB/DM1008
Истекший срок сертификата подписи драйвера не должен влиять на установку драйверов Рутокен.
Если устанавливать драйвера рутокен без считывателей Рутокен S командой rtDrivers.exe VIRTRDR=0 ошибка так же будет?

(2022-07-27 15:58:33 отредактировано Андрей Мучкин)

Re: Rutoken S, Устаревший сертификат

Аверченко Кирилл пишет:

Андрей Мучкин, обновления на Windows 10 установлены?
Можете прислать полный лог установки?
Компьютер в домене? Есть какие-либо политики проверки подлинности?
Изоляция ядра в системе включена? Проверить можно по инструкции https://dev.rutoken.ru/display/KB/DM1008
Истекший срок сертификата подписи драйвера не должен влиять на установку драйверов Рутокен.
Если устанавливать драйвера рутокен без считывателей Рутокен S командой rtDrivers.exe VIRTRDR=0 ошибка так же будет?

Встал! Стоило только отписаться, не прошло и пары лет. В этот раз, потребовал убить процессы Rutoken Logon и XBox Live Networking. Дело очевидно во втором?

Никакого Х-Бокса у меня нет, но я оставил для наблюдения. Очень привилегированная хрень, отвечает тот же хмырь, что когда за ядро VMS и потом самое NT, некто Dave Cutler.

Позволяет иногда ремотать некий священный USB Root Hub, который вроде как, никак официально не ремотается и является сакральным аттрибутом консоли? Как-то так. Windows Hello for Business вроде этим пользуется.

Компьютер джойнут в Azure , что официально за домен не считается, если не заплатить за дорогую опцию Azure AD DS. У меня же только халявные сервисы. Гусары с Гейтса денег не берут! На самом деле, домен и есть.

Ну падал именно сертификат. Мне даже показывали окошко со словами "3758096967 0xe0000247" и это были последнее его слова.  Подозревается

0xe0000247    ERROR_DRIVER_STORE_ADD_FAILED    setupapi.h

на примере

https://social.msdn.microsoft.com/Forum … mentissues

что ведет к падению функции

DiInstallDriverW ( https://docs.microsoft.com/en-us/window … alldriverw )

Re: Rutoken S, Устаревший сертификат

В состав дистрибутива Рутокен Логон так же входят драйвера Рутокен, только более старой версии.
При установке Рутокен Логон не было ошибок?
Служба XBox Live Networking запускается у вас автоматически? По-умолчанию она в режиме запуска "вручную".
Можете в следующий раз при возникновении ошибок установки попробовать выполнить следующую инструкцию https://dev.rutoken.ru/display/KB/RD1022

(2022-07-27 14:27:37 отредактировано Андрей Мучкин)

Re: Rutoken S, Устаревший сертификат

Аверченко Кирилл пишет:

В состав дистрибутива Рутокен Логон так же входят драйвера Рутокен, только более старой версии.
При установке Рутокен Логон не было ошибок?
Служба XBox Live Networking запускается у вас автоматически? По-умолчанию она в режиме запуска "вручную".
Можете в следующий раз при возникновении ошибок установки попробовать выполнить следующую инструкцию https://dev.rutoken.ru/display/KB/RD1022

Автоматически, непонятно почему. Особенно на проблемном, который лаптоп. На другом тоже так, но там я втыкал XBox controller, в игры играть.  В котором, по-моему, закатан неслабый криптопроцессор. Next Gen Platform Security? Это из области конспирологии скорее.

По-моему, все устройства про смарт-карты, которые делают заявку на волшебный адрес 0x800....001
сериализуют ядро  Со скоростью не более чем доступно Human Interface Device, т.е. USB 1.1 <= 12 Mbps. Xbox controller делает то же самое, но гораздо быстрее, ибо HID-Устройством не считается, а каким специальным X-Бокс аксессуаром.

При установке Рутокен Логон ошибок не было .

Ошибка была 0xE0000247, не 0x80070643. Про сертификат.  По-моему, раньше  бывал какой-то другой бред, но "непоправимой ошибки" вроде не было.

(2022-07-27 16:02:18 отредактировано Андрей Мучкин)

Re: Rutoken S, Устаревший сертификат

Аверченко Кирилл пишет:

В состав дистрибутива Рутокен Логон так же входят драйвера Рутокен, только более старой версии.
При установке Рутокен Логон не было ошибок?
Служба XBox Live Networking запускается у вас автоматически? По-умолчанию она в режиме запуска "вручную".
Можете в следующий раз при возникновении ошибок установки попробовать выполнить следующую инструкцию https://dev.rutoken.ru/display/KB/RD1022


Хм, не все так просто. Запустил sigverif. Обнаружены два неподписанных файла rtminidrv.dll

в C:\Windows\System32 и C:\Windows\SysWow64

Дата последней модификации 03/06/22 а сегодня 27/07/22, однако еще вчера/позавчера, неподписанных файлов у меня не было, по версии sigverify.

Это могут быть пресловутые более старые версии из пакета логона, у которых снесло подпись вместо того, чтобы переписать.

rtminidrv.dll            03/06/2022     4.12.0.0            Not Signed          N/A   

(4.12.0.0 собственная версия, N/A имя каталога)

repair инсталляция проходит с виду удачно, но не меняет ничего