Freigeben über


Überprüfen der Release-Signature

Nachdem ein Treiberpaket releasesigniert wurde, kann das SignTool-Tool verwendet werden, um die Signaturen von zu überprüfen:

  • Einzelne Dateien im Treiberpaket.

  • Binärdateien im Kernelmodus, z. B. Treiber, die eingebettet und signiert wurden.

In den Beispielen in diesem Thema wird die 64-Bit-Version der Binärdatei des Toastpkg-Beispiels toaster.sysverwendet. Innerhalb des WDK-Installationsverzeichnisses befindet sich diese Datei im Verzeichnis src\general\toaster\toastpkg\toastcd\amd64 .

Im folgenden Beispiel wird die Signatur von toaster.sys in der tstamd64.cat releasesignierten Katalogdatei überprüft:

Signtool verify /kp /v /c tstamd64.cat amd64\toaster.sys

Hierbei gilt:

  • Mit dem Befehl verify wird SignTool so konfiguriert, dass die Signatur in der angegebenen Katalogdatei (tstamd64.cat) überprüft wird.

  • Die Option /kp konfiguriert SignTool, um zu überprüfen, ob die Kernelrichtlinie erfüllt wurde.

  • Mit der Option /v wird SignTool so konfiguriert, dass Ausführungs- und Warnmeldungen ausgegeben werden.

  • Die Option "/c " gibt die Katalogdatei des Treiberpakets an, die mit "release-signed" (tstamd64.cat) veröffentlicht wurde. Wenn Sie die digitale Signatur eines eingebetteten treibers überprüfen, verwenden Sie diese Option nicht.

  • amd64\toaster.sys ist der Name der zu überprüfenden Datei.

In der Ausgabe dieses Befehls mit der Bezeichnung "Signaturzertifikatkette" sollten Sie überprüfen, ob Folgendes zutrifft:

  • Der Stamm der Zertifikatkette für die Kernelrichtlinie wird an und vom Microsoft Code Verification Root ausgestellt.

  • Das Kreuzzertifikat, das an die öffentliche primäre Zertifizierungsstelle der Klasse 3 ausgestellt wird, wird auch vom Microsoft Code Verification Root ausgestellt.

Bei einer signierten Katalogdatei kann die Signatur der Standardauthentifikode-Überprüfungsrichtlinie auch in jeder Kernelmodus-Binärdatei innerhalb des Treiberpakets überprüft werden. Dadurch wird sichergestellt, dass die Datei im Benutzermodus Plug & Play Installationsdialogfeldern und im MMC-Geräte-Manager-Snap-In als angemeldet angezeigt wird.

Hinweis Dieses Beispiel wird nur für die Überprüfung von Releasesignierten Katalogdateien und nicht für eingebettete Binärdateien im Kernelmodus verwendet.

Im folgenden Beispiel wird die Standard-Authenticode-Überprüfungsrichtlinie von toaster.sys in der tstamd64.cat signierten Katalogdatei überprüft:

Signtool verify /pa /v /c tstamd64.cat amd64\toaster.sys

Hierbei gilt:

  • Mit dem Befehl verify wird SignTool so konfiguriert, dass die Signatur in der angegebenen Datei überprüft wird.

  • Die Option /pa konfiguriert SignTool, um zu überprüfen, ob die Authenticode-Überprüfungsrichtlinie erfüllt wurde.

  • Mit der Option /v wird SignTool so konfiguriert, dass Ausführungs- und Warnmeldungen ausgegeben werden.

  • Die Option /c gibt die Katalogdatei des Treiberpakets an, die mit Freigabesign (tstamd64.cat) veröffentlicht wurde.

  • amd64\toaster.sys ist der Name der zu überprüfenden Datei.

In der Ausgabe dieses Befehls mit der Bezeichnung "Signaturzertifikatkette" sollten Sie überprüfen, ob die Standardzertifikatkette authenticode an und von einer öffentlichen primären Zertifizierungsstelle der Klasse 3 ausgestellt wird.

Sie können die digitale Signatur der Katalogdatei selbst auch über Windows Explorer überprüfen, indem Sie die folgenden Schritte ausführen:

  • Klicken Sie mit der rechten Maustaste auf die Katalogdatei, und wählen Sie Eigenschaften aus.

  • Für digital signierte Dateien enthält das Dialogfeld Eigenschaften der Datei eine zusätzliche Registerkarte Digitale Signatur , auf der die Signatur, der Zeitstempel und die Details des Zertifikats angezeigt werden, das zum Signieren der Datei verwendet wurde.

Weitere Informationen zum Release signieren von Treiberpaketen finden Sie unter Releasesignaturtreiberpakete und Überprüfen der SPC-Signatur einer Katalogdatei.