Test-Signing-Treiberpakete
In diesem Abschnitt wird ein Computer, der die Treiber für die Veröffentlichung unter Windows Vista und höheren Versionen von Windows testt, als Signaturcomputer bezeichnet. Auf dem Signaturcomputer muss Windows XP SP2 oder höhere Versionen von Windows ausgeführt werden. Beispielsweise kann ein Treiber, der für die Veröffentlichung unter Windows 7 vorgesehen ist, auf einem Computer mit Windows Vista signiert werden.
Um die Treibersigniertools verwenden zu können, müssen auf dem Signaturcomputer Windows Vista und höhere Versionen des WDK installiert sein.
Hinweis Sie müssen die Version des SignTool-Tools verwenden, die in Windows Vista und höheren Versionen des Windows Driver Kit (WDK) bereitgestellt wird. Frühere Versionen des SignTool unterstützen die Codesignierungsrichtlinie im Kernelmodus für Windows Vista und höhere Versionen von Windows nicht.
Um die Codesignaturrichtlinie im Kernelmodus und die Plug & Play (PnP)-Geräteinstallationssignaturanforderungen von Windows Vista und höheren Versionen von Windows zu erfüllen, müssen Sie während der Entwicklung und dem Test dieses Treibers einen Treiber signieren. Sie können den Treiber auf dem Signaturcomputer basierend auf dem Treibertyp wie folgt signieren.
Hinweis Die Windows-Codesignaturrichtlinie erfordert, dass eine signierte Katalogdatei für ein Treiberpaket in der Systemkomponente und Treiberdatenbank installiert wird. Bei der PnP-Geräteinstallation wird automatisch die Katalogdatei eines PnP-Treibers in der Treiberdatenbank installiert. Wenn Sie jedoch eine signierte Katalogdatei verwenden, um einen Nicht-PnP-Treiber zu signieren, muss die Installationsanwendung, die den Treiber installiert, auch die Katalogdatei in der Treiberdatenbank installieren.
PnP-Kernel-Mode Boot-Start-Treiber
Um die Kernelmodus-Codesignaturrichtlinie von 64-Bit-Versionen von Windows Vista und höheren Versionen von Windows einzuhalten, betten Sie eine Signatur wie folgt in die Starttreiberdatei ein:
Ab Windows Vista ist das Einbetten einer Signatur in eine Starttreiberdatei für 32-Bit-Versionen von Windows optional. Obwohl Windows überprüft, ob eine Kernelmodustreiberdatei über eine eingebettete Signatur verfügt, ist keine eingebettete Signatur erforderlich.
Um die Signierungsanforderungen für die PnP-Geräteinstallation von Windows Vista und höheren Versionen von Windows zu erfüllen, müssen Sie auch eine Katalogdatei für das Treiberpaket testen. Wenn eine Treiberdatei auch eine eingebettete Signatur enthält, betten Sie die Signatur in die Treiberdatei ein, bevor Sie die Katalogdatei des Treiberpakets signieren.
Sie können eine Anforderung senden, damit die Windows Hardware Quality Labs (WHQL) die Katalogdatei testen lassen. Alternativ können Sie eine Katalogdatei wie folgt mit einem Testzertifikat selbst signieren:
Überprüfen Sie die Signatur der testsignierten Katalogdatei.
Sie können die Signatur der Katalogdatei selbst oder die Signatur einzelner Dateien überprüfen, die entsprechende Einträge in der Katalogdatei enthalten.
Nicht-PnP-Kernel-Mode Boot-Start-Treiber
Um die Kernelmodus-Codesignaturrichtlinie von 64-Bit-Versionen von Windows Vista und höheren Versionen von Windows einzuhalten, betten Sie eine Signatur wie folgt in eine Starttreiberdatei ein:
Ab Windows Vista ist das Einbetten einer Signatur in eine Starttreiberdatei für 32-Bit-Versionen von Windows optional. Obwohl Windows überprüft, ob eine Kernelmodustreiberdatei über eine eingebettete Signatur verfügt, ist keine eingebettete Signatur erforderlich.
Die Signierungsanforderungen für die PnP-Geräteinstallation gelten nicht für Nicht-PnP-Treiber.
PnP-Kernel-Mode-Treiber, der kein Boot-Start-Treiber ist
Die Kernelmodus-Codesignaturrichtlinie für 64-Bit-Versionen von Windows Vista und höheren Versionen von Windows erfordert keinen nicht startfähigen PnP-Treiber, um über eine eingebettete Signatur zu verfügen. Wenn die Treiberdatei jedoch eine eingebettete Signatur enthält, betten Sie die Signatur in die Treiberdatei ein, bevor Sie die Katalogdateides Treiberpakets signieren.
Bei einem PnP-Kernelmodustreiber, der kein Starttreiber ist, entspricht das Signieren der Katalogdatei für das Treiberpaket der Kernelmodus-Codesignaturrichtlinie für 64-Bit-Versionen von Windows Vista und höheren Versionen von Windows sowie den Anforderungen für die PnP-Geräteinstallationssignierung für alle Versionen von Windows Vista und höher.
Sie können eine Anforderung senden, damit die Windows Hardware Quality Labs (WHQL) die Katalogdatei testen lassen. Alternativ können Sie eine Katalogdatei selbst mit einem Testzertifikat testen, wie in diesem Abschnitt beschrieben, um die Katalogdatei eines Starttreibers im PnP-Kernelmodus zu signieren.
Nicht-PnP-Kernel-Mode-Treiber, der kein Boot-Start-Treiber ist
Um die Kernelmodus-Codesignaturrichtlinie von 64-Bit-Versionen von Windows Vista und höheren Versionen von Windows einzuhalten, betten Sie eine Signatur in die Treiberdatei ein, oder signieren Sie die Katalogdateides Treiberpakets.
Ab Windows Vista ist das Einbetten einer Signatur in eine Treiberdatei für 32-Bit-Versionen von Windows optional. Obwohl Windows überprüft, ob eine Kernelmodustreiberdatei über eine eingebettete Signatur verfügt, ist keine eingebettete Signatur erforderlich.
Die Signierungsanforderungen für die PnP-Geräteinstallation gelten nicht für Nicht-PnP-Treiber.
Hinweis Die Verwendung eingebetteter Signaturen ist im Allgemeinen einfacher und effizienter als die Verwendung einer signierten Katalogdatei. Weitere Informationen zu den Vor- und Nachteilen der Verwendung eingebetteter Signaturen im Vergleich zu signierten Katalogdateien finden Sie unter Testen der Signatur eines Treibers.