Test-Signing der Katalogdatei eines Treiberpakets

Nachdem die Katalogdatei für ein Treiberpaket erstellt oder aktualisiert wurde, kann die Katalogdatei über SignTool signiert werden. Nach der Signatur wird die in der Katalogdatei gespeicherte digitale Signatur ungültig, wenn Komponenten des Treiberpakets geändert werden.

Beim digitalen Signieren einer Katalogdatei speichert SignTool die digitale Signatur in der Katalogdatei. Die Komponenten des Treiberpakets werden von SignTool nicht geändert. Da die Katalogdatei jedoch Hashwerte der Komponenten des Treiberpakets enthält, wird die digitale Signatur in der Katalogdatei beibehalten, solange die Komponenten auf denselben Wert hashen.

SignTool kann der digitalen Signatur auch einen Zeitstempel hinzufügen. Mit dem Zeitstempel können Sie bestimmen, wann eine Signatur erstellt wurde, und unterstützt bei Bedarf flexiblere Zertifikatsperroptionen.

Die folgende Befehlszeile zeigt, wie SignTool ausgeführt wird, um die folgenden Schritte auszuführen:

• Testen Sie die tstamd64.cat Katalogdatei des ToastPkg-Beispieltreiberpakets. Weitere Informationen zur Erstellung dieser Katalogdatei finden Sie unter Erstellen einer Katalogdatei für Test-Signing ein Treiberpaket.

• Verwenden Sie das Zertifikat Contoso.com(Test) aus dem PrivateCertStore für die Testsignatur. Weitere Informationen zur Erstellung dieses Zertifikats finden Sie unter Erstellen von Testzertifikaten.

• Zeitstempelt die digitale Signatur über eine Zeitstempelautorität (Time Stamp Authority, TSA).

Führen Sie die folgende Befehlszeile aus, um die tstamd64.cat Katalogdatei zu testen:

Signtool sign /v /fd sha256 /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.digicert.com tstamd64.cat

Hierbei gilt:

• Der Befehl sign konfiguriert SignTool, um die angegebene Katalogdatei zu signieren, tstamd64.cat.

• Die Option /v ermöglicht ausführliche Vorgänge, in denen SignTool erfolgreiche Ausführungs- und Warnmeldungen anzeigt.

• Die Option /fd gibt den Datei-Digestalgorithmus an, der zum Erstellen von Dateisignaturen verwendet werden soll. Die Standardeinstellung lautet SHA1.

• Die Option /s gibt den Namen des Zertifikatspeichers (PrivateCertStore) an, der das Testzertifikat enthält.

• Die Option /n gibt den Namen des Zertifikats (Contoso.com(Test)) an, das im angegebenen Zertifikatspeicher installiert ist.

• Die Option /t gibt die URL der TSA (http://timestamp.digicert.com) an, die die digitale Signatur zeitstempelt.

  Wichtig

  Das Einschließen eines Zeitstempels stellt die erforderlichen Informationen für die Schlüsselsperrung bereit, falls der private Schlüssel des Signierers kompromittiert wird.

• tstamd64.cat gibt den Namen der Katalogdatei an, die digital signiert wird.

Weitere Informationen zu SignTool und seinen Befehlszeilenargumenten finden Sie unter SignTool.

Weitere Informationen zum Testen der Katalogdatei eines Treiberpakets finden Sie unter Testen der Signatur einer Katalogdatei.