Compartir a través de

Comprobación del Release-Signature

  • Artículo

Una vez firmado el lanzamiento de un paquete de controladores , se puede usar la herramienta SignTool para comprobar las firmas de:

  • Archivos individuales dentro del paquete de controladores.

  • Archivos binarios en modo kernel, como controladores, que se han incrustado.

En los ejemplos de este tema se usa la versión de 64 bits del archivo binario del ejemplo Toastpkg, toaster.sys. En el directorio de instalación de WDK, este archivo se encuentra en el directorio src\general\toaster\toastpkg\toastcd\amd64 .

En el ejemplo siguiente se comprueba la firma de toaster.sys en el archivo de catálogo firmado por la versión tstamd64.cat:

Signtool verify /kp /v /c tstamd64.cat amd64\toaster.sys

Donde:

  • El comando verify configura SignTool para comprobar la firma en el archivo de catálogo especificado (tstamd64.cat).

  • La opción /kp configura SignTool para comprobar que se ha cumplido la directiva de kernel.

  • La opción /v configura SignTool para imprimir mensajes de ejecución y advertencia.

  • La opción /c especifica el archivo de catálogo del paquete de controladores que se firmó (tstamd64.cat). Si está comprobando la firma digital de un controlador firmado incrustado, no use esta opción.

  • amd64\toaster.sys es el nombre del archivo que se va a comprobar.

En la salida de este comando con la etiqueta "Cadena de certificados de firma", debe comprobar que lo siguiente es true:

  • La raíz de la cadena de certificados para la directiva de kernel se emite a y mediante la raíz de verificación de código de Microsoft.

  • El certificado cruzado, que se emite a la entidad de certificación principal pública de clase 3, también lo emite la raíz de verificación de código de Microsoft.

En el caso de un archivo de catálogo firmado, la firma de directiva de verificación De authenticode predeterminada también se puede comprobar en cualquier archivo binario en modo kernel dentro del paquete de controladores. Esto garantiza que el archivo aparezca como con la sesión iniciada en el modo de usuario Plug and Play cuadros de diálogo de instalación y el complemento MMC Administrador de dispositivos.

Nota Este ejemplo solo se usa para comprobar los archivos de catálogo firmados por la versión y no los archivos binarios en modo kernel firmados insertados.

En el ejemplo siguiente se comprueba la directiva de verificación Default Authenticode de toaster.sys en el archivo de catálogo firmado tstamd64.cat :

Signtool verify /pa /v /c tstamd64.cat amd64\toaster.sys

Donde:

  • El comando verify configura SignTool para comprobar la firma en el archivo especificado.

  • La opción /pa configura SignTool para comprobar que se ha cumplido la directiva de verificación Authenticode.

  • La opción /v configura SignTool para imprimir mensajes de ejecución y advertencia.

  • La opción /c especifica el archivo de catálogo del paquete de controladores firmado (tstamd64.cat).

  • amd64\toaster.sys es el nombre del archivo que se va a comprobar.

En la salida de este comando con la etiqueta "Cadena de certificados de firma", debe comprobar que la cadena de certificados Authenticode predeterminada se emite a y mediante una entidad de certificación principal pública de clase 3.

También puedes comprobar la firma digital del propio archivo de catálogo a través del Explorador de Windows siguiendo estos pasos:

  • Haga clic con el botón derecho en el archivo de catálogo y seleccione Propiedades.

  • Para los archivos firmados digitalmente, el cuadro de diálogo Propiedades del archivo tiene una pestaña Firma digital adicional, en la que aparecen la firma, la marca de tiempo y los detalles del certificado que se usó para firmar el archivo.

Para obtener más información sobre cómo publicar paquetes de controladores de firma de versión, vea Paquetes de controladores de firma de versión y Comprobación de la firma SPC de un archivo de catálogo.