Release-Signing der Katalogdatei eines Treiberpakets
Nachdem die Katalogdatei für ein Treiberpaket erstellt oder aktualisiert wurde, kann die Katalogdatei über SignTool signiert werden. Nach der Signatur wird die in der Katalogdatei gespeicherte digitale Signatur ungültig, wenn Komponenten des Treiberpakets geändert werden.
Beim digitalen Signieren einer Katalogdatei speichert SignTool die digitale Signatur in der Katalogdatei. Die Komponenten des Treiberpakets werden von SignTool nicht geändert. Da die Katalogdatei jedoch Hashwerte der Komponenten des Treiberpakets enthält, wird die digitale Signatur in der Katalogdatei beibehalten, solange die Komponenten auf denselben Wert hashen.
SignTool kann der digitalen Signatur auch einen Zeitstempel hinzufügen. Mit dem Zeitstempel können Sie bestimmen, wann eine Signatur erstellt wurde, und unterstützt bei Bedarf flexiblere Optionen für die Zertifikatsperrung.
Die folgende Befehlszeile zeigt, wie SignTool ausgeführt wird, um die folgenden Schritte auszuführen:
Release signieren Sie die tstamd64.cat Katalogdatei des ToastPkg-Beispieltreiberpakets. Weitere Informationen zur Erstellung dieser Katalogdatei finden Sie unter Erstellen einer Katalogdatei für Release-Signing ein Treiberpaket.
Verwenden Sie ein softwareherausgeberzertifikat (Software Publisher Certificate, SPC), das von einer kommerziellen Zertifizierungsstelle (Commercial Certificate Authority, CA) ausgestellt wurde.
Verwenden Sie ein kompatibles Kreuzzertifikat für SPC.
Weisen Sie der digitalen Signatur über eine Zeitstempelautorität (Time Stamp Authority, TSA) einen Zeitstempel zu.
Führen Sie zum Freigeben des Signierens der tstamd64.cat-Katalogdatei die folgende Befehlszeile aus:
Signtool sign /v /fd sha256 /ac MSCV-VSClass3.cer /s MyPersonalStore /n contoso.com /t http://timestamp.digicert.com tstamd64.cat
Hierbei gilt:
Der Sign-Befehl konfiguriert SignTool zum Signieren der angegebenen Katalogdatei , tstamd64.cat.
Die Option /v ermöglicht ausführliche Vorgänge, in denen SignTool erfolgreiche Ausführungs- und Warnmeldungen anzeigt.
Die Option /fd gibt den Datei-Digestalgorithmus an, der zum Erstellen von Dateisignaturen verwendet werden soll. Die Standardeinstellung lautet SHA1.
Die Option /ac gibt den Namen der Datei an, die das von der Zertifizierungsstelle abgerufene Cross-Certificate (MSCV-VSClass3.cer) enthält. Verwenden Sie den vollständigen Pfadnamen, wenn sich das zertifikatübergreifende Zertifikat nicht im aktuellen Verzeichnis befindet.
Die Option /s gibt den Namen des persönlichen Zertifikatspeichers (MyPersonalStore) an, der den SPC enthält.
Die Option /n gibt den Namen des SPC (Contoso.com) an, der im angegebenen Zertifikatspeicher installiert ist.
Die Option /t gibt die URL der TSA (
http://timestamp.digicert.com) an, mit der die digitale Signatur zeitstempelt wird.
Wichtig
Das Einschließen eines Zeitstempels stellt die erforderlichen Informationen für die Schlüsselsperrung bereit, falls der private Schlüssel des Signierers kompromittiert wird.
- tstamd64.cat gibt den Namen der Katalogdatei an, die digital signiert wird.
Weitere Informationen zu SignTool und seinen Befehlszeilenargumenten finden Sie unter SignTool.
Weitere Informationen zu Releasesignaturtreiberpaketen finden Sie unter Release-Signing-Treiberpakete.