安装软件和驱动程序需要微软数字签名无法安装？数字签名和数字证书区别

阿吉啊

已于 2022-12-23 15:53:43 修改

阅读量4k

点赞数

分类专栏：笔记文章标签： microsoft windows

于 2022-11-16 22:35:00 首次发布

本文链接：https://blog.csdn.net/qw6r5/article/details/127894983

版权

笔记专栏收录该内容

29 篇文章 0 订阅

订阅专栏

1.安装软件和驱动程序需要微软数字签名无法安装

windows安装exe安装包时：

1.1

解决方法：

1.2

这个问题需要安装驱动补丁进行更新驱动操作，如：Windows6.1-sha2补丁.msu

1.3

这种属于签名问题，解决方法：

1..进入“控制面板”，查看方式为大图标，点击“安全和维护”，选择“更改用户账户控制设置”将UAC级别设置到最低。或者进入“控制面板”，查看方式为大图标，点击“安全和维护”，点击“更改安全和维护设置”，取消勾选【用户账户控制】

2..右击安装程序选择【以管理员身份运行】；

3..关闭防火墙和杀毒软件后，右击安装程序选择【以管理员身份运行】；

其他解决方法：

方法一：

　　1、以Win10为例，Win7同样适用，首先我们在键盘上同时按下“Windows键”+“R键”，调出运行，在运行中输入“gpedit.msc”，即可打开本地组策略编辑器。

　　2、在本地组策略编辑器中，依次展开【用户配置】--【管理模板】--【系统】--【驱动程序安装】，在右侧窗口找到并双击进入“设备驱动程序的代码签名”。

　　3、在设备驱动程序的代码签名窗口中，我们点击“已启用”，在选项中，选择“忽略”，并应用、确定即可。安装完毕之后，为了安全性最好修改为“警告”或者“阻止”。

方法二：

　　1、首先我们单击开始菜单，然后一直按住“ SHITF键 ”不放，点击电源按钮，并选择重启;

　　2、电脑重启之后，系统进入到“选择一个选项”界面，我们选择“疑难解答”;

　　3、进入到疑难解答界面之后，再选择“高级选项”，

　　4、再高级选项界面中，我们选择“启动设置”;

　　5、在启动设置界面中，我们点击“重启”。

　　6、重启后，我们可以看到很多特殊启动模式选项，我们按下“F7”或者数字“7”键，进入“禁用驱动程序强制签名”。

　　7、我们进入禁用驱动程序强制签名的模式下，再进行安装驱动程序，即可安装啦!

为什么需要数字签名和安装CA证书

在创建可部署的 Windows 10 应用包过程中，应用包签名是必须执行的步骤。 Windows 10 要求使用有效的代码签名证书为所有应用程序签名。

若要成功安装 Windows 10 应用程序，该包不仅需要签名，而且还需在设备上受信任。这意味着，该证书必须链接到设备上的某个受信任根。默认情况下，Windows 10 信任提供代码签名证书的大部分证书颁发机构的证书。

我的理解：CA根证书一般再浏览器访问需要添加，微软安装包安装需要数字签名，不一定包含数字证书就不需要添加CA证书到设备

2.数字签名和数字证书区别

2.1一些基本名词解释

密钥：对称加密设置的密码

公钥：公钥用于加密信息和解密数字签名。用公钥加密的数据只能使用私钥解密。

私钥：私钥用于解密信息和加密消息摘要

消息摘要，数字指纹：对消息使用HASH算法获取的固定长度的字符串（哈希值）；对需要传输的文本，做一个HASH计算，一般采用SHA1，SHA2来获得。

数字签名：使用私钥加密的消息摘要。使用私钥对需要传输的文本的摘要进行加密，得到的密文即被称为该次传输过程的签名。

数字证书：CA用自己的私钥，对需要认证的公钥及相关的信息进行加密

hash算法：hash算法是一个空间到另一个空间的映射。hash算法又称摘要算法，可以将任意数据data计算出固定长度的摘要digest,目的是为了发现原始数据是否被人篡改过。求模算法作为一种不可逆的计算方法，成为了整个密码学的根基。只要涉及计算机安全和加密的领域，都会有模计算的身影。散列算法也不例外。一种最原始的散列算法，就是简单的求模，为了更加安全，我们可以加入异或过程，或者最原始文本进行运算，如移位。简单解释，hash算法是一种单向密码体制，是从明文到密文的不可逆过程，只有加密，没有解密过程。MD5/SHA-1/SHA-2 是目前比较流行的hash算法，而他们都是已MD4为基础涉及的。

MD4,MIT于1990年设计，MD 是Message Digest 的缩写。基于32位操作数的位操作来实现，其输出是128位，目前已被证明不够安全
MD5,Rivest于1991年对MD4的改进，输入仍是512位的分组，其输出是4个32位字的级联，MD5已被证明不具备抗碰撞性
SHA , 是一个hash函数族，由NIST于1993年发布，SHA-1，输出为160位hash值，与MD4原理相同，模仿了其算法，已被证明不具备抗碰撞性。该系列还有SHA-224,SHA-256,SHA-384,SHA-512,统称为SHA-2

hash算法用于1、文件校验 2、数字签名 3、鉴权协议

2.2为什么要用数字证书？

在签名的过程中，有一点很关键，收到数据的一方，需要自己保管好公钥，但是要知道每一个发送方都有一个公钥，那么接收数据的人需要保存非常多的公钥，这根本就管理不过来。并且本地保存的公钥有可能被篡改替换，无从发现。怎么解决这一问题了？由一个统一的证书管理机构来管理所有需要发送数据方的公钥，对公钥进行认证和加密。这个机构也就是我们常说的CA。认证加密后的公钥，即是证书，又称为CA证书，证书中包含了很多信息，最重要的是申请者的公钥。

CA 机构在给公钥加密时，用的是一个统一的密钥对，在加密公钥时，用的是其中的私钥。这样，申请者拿到证书后，在发送数据时，用自己的私钥生成签名，将签名、证书和发送内容一起发给对方，对方拿到了证书后，需要对证书解密以获取到证书中的公钥，解密需要用到CA机构的”统一密钥对“中的公钥，这个公钥也就是我们常说的CA根证书，通常需要我们到证书颁发机构去下载并安装到相应的收取数据的客户端，如浏览器上面。这个公钥只需要安装一次。有了这个公钥之后，就可以解密证书，拿到发送方的公钥，然后解密发送方发过来的签名，获取摘要，重新计算摘要，作对比，以验证数据内容的完整性。

2.3百度百科对数字签名和数字证书的解释

数字签名：

将报文按双方约定的HASH 算法计算得到一个固定位数的报文摘要。在数学上保证：只要改动报文中任何一位，重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。
将该报文摘要值用发送者的私人密钥加密，然后连同原报文一起发送给接收者，而产生的报文即称数字签名

数字证书：

数字证书就是互联网通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构-----CA机构，又称为证书授权（Certificate Authority）中心发行的，人们可以在网上用它来识别对方的身份。数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

2.4数字签名和数字证书的图形化介绍

对数字签名和数字证书的理解一直较模糊。

最近看了一篇很形象的关于数字证书的图形化介绍，豁然就开朗了^^

原文：http://www.youdzone.com/signature.html

中文版

正文
1. 鲍勃有两把钥匙，一把是公钥，另一把是私钥。

2. 鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。

3. 苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密，就可以达到保密的效果

4. 鲍勃收信后，用私钥解密，就看到了信件内容。这里要强调的是，只要鲍勃的私钥不泄露，这封信就是安全的，即使落在别人手里，也无法解密。

5. 鲍勃给苏珊回信，决定采用 "数字签名"。他写完后先用Hash函数，生成信件的摘要（digest）

6. 然后，鲍勃使用私钥，对这个摘要加密，生成"数字签名"（signature）。

7. 鲍勃将这个签名，附在信件下面，一起发给苏珊。

8. 苏珊收信后，取下数字签名，用鲍勃的公钥解密，得到信件的摘要。由此证明，这封信确实是鲍勃发出的。

9. 苏珊再对信件本身使用Hash函数，将得到的结果，与上一步得到的摘要进行对比。如果两者一致，就证明这封信未被修改过。

10. 复杂的情况出现了。道格想欺骗苏珊，他偷偷使用了苏珊的电脑，用自己的公钥换走了鲍勃的公钥。此时，苏珊实际拥有的是道格的公钥，但是还以为这是鲍勃的公钥。因此，道格就可以冒充鲍勃，用自己的私钥做成"数字签名"，写信给苏珊，让苏珊用假的鲍勃公钥进行解密。

11. 后来，苏珊感觉不对劲，发现自己无法确定公钥是否真的属于鲍勃。她想到了一个办法，要求鲍勃去找"证书中心"（certificate authority，简称CA），为公钥做认证。证书中心用自己的私钥，对鲍勃的公钥和一些相关信息一起加密，生成"数字证书"（Digital Certificate）。