Release-Signing archivo de catálogo de un paquete de controladores

Una vez creado o actualizado el archivo de catálogo de un paquete de controladores , el archivo de catálogo se puede firmar mediante SignTool. Una vez firmada, la firma digital almacenada en el archivo de catálogo se invalida si se modifica algún componente del paquete de controladores.

Al firmar digitalmente un archivo de catálogo, SignTool guarda la firma digital en el archivo de catálogo. SignTool no cambia los componentes del paquete de controladores. Sin embargo, dado que el archivo de catálogo contiene valores hash de los componentes del paquete de controladores, la firma digital dentro del archivo de catálogo se mantiene siempre que los componentes hashen el mismo valor.

SignTool también puede agregar una marca de tiempo a la firma digital. La marca de tiempo permite determinar cuándo se creó una firma y admite opciones de revocación de certificados más flexibles, si es necesario.

En la siguiente línea de comandos se muestra cómo ejecutar SignTool para hacer lo siguiente:

• Firma de versión el archivo de catálogo tstamd64.cat del paquete de controladores de ejemploToastPkg. Para obtener más información sobre cómo se creó este archivo de catálogo , vea Crear un archivo de catálogo para Release-Signing un paquete de controladores.

• Use un certificado de publicador de software (SPC) emitido por una entidad de certificación comercial (CA).

• Use un certificado cruzado compatible para SPC.

• Asigne una marca de tiempo a la firma digital a través de una entidad de marca de tiempo (TSA).

Para firmar el tstamd64.cat archivo de catálogo, ejecute la siguiente línea de comandos:

Signtool sign /v /fd sha256 /ac MSCV-VSClass3.cer /s MyPersonalStore /n contoso.com /t http://timestamp.digicert.com tstamd64.cat

Donde:

• El comando sign configura SignTool para firmar el archivo de catálogo especificado, tstamd64.cat.

• La opción /v habilita operaciones detalladas, en las que SignTool muestra mensajes de advertencia y ejecución correctos.

• La opción /fd especifica el algoritmo de resumen de archivo que se va a usar para crear firmas de archivo. El valor predeterminado es SHA1.

• La opción /ac especifica el nombre del archivo que contiene el certificado cruzado (MSCV-VSClass3.cer) obtenido de la ENTIDAD de certificación. Use el nombre de la ruta de acceso completa si el certificado cruzado no está en el directorio actual.

• La opción /s especifica el nombre del almacén de certificados Personal (MyPersonalStore) que contiene el SPC.

• La opción /n especifica el nombre del SPC (Contoso.com) instalado en el almacén de certificados especificado.

• La opción /t especifica la dirección URL del TSA (http://timestamp.digicert.com), que marcará la marca de tiempo de la firma digital.

Importante

La inclusión de una marca de tiempo proporciona la información necesaria para la revocación de claves en caso de que la clave privada de firma de código del firmante esté en peligro.

• tstamd64.cat especifica el nombre del archivo de catálogo, que se firmará digitalmente.

Para obtener más información sobre SignTool y sus argumentos de línea de comandos, vea SignTool.

Para obtener más información sobre los paquetes de controladores de firma de versiones, vea Paquetes de controladores de firma de versión.