Release-Signing un fichier binaire de pilote via une signature incorporée
Un fichier de catalogue signé est tout ce que vous devez avoir pour installer et charger correctement la plupart des packages de pilotes. Toutefois, la signature incorporée de certains fichiers binaires dans le package de pilotes peut également être nécessaire pour certains scénarios. La signature incorporée fait référence à l’ajout d’une signature numérique au fichier image binaire du pilote lui-même, au lieu de s’appuyer sur la signature numérique dans un fichier catalogue. Par conséquent, l’image binaire du pilote est modifiée lorsque le pilote est signé incorporé.
La signature incorporée des fichiers binaires en mode noyau (par exemple, les pilotes et les fichiers .dll associés) est requise chaque fois que :
Le binaire du pilote est un pilote de démarrage. Dans les versions 64 bits de Windows Vista et les versions ultérieures de Windows, les exigences de signature de code en mode noyau indiquent qu’un pilote de démarrage doit avoir une signature incorporée. Cela est obligatoire, que le package de pilotes du pilote ait ou non un fichier catalogue signé numériquement.
Le fichier binaire du pilote est installé via un moyen qui n’implique pas de package de pilotes ni de fichier catalogue.
Comme avec les fichiers catalogue, l’outil SignTool est utilisé pour incorporer une signature numérique dans des fichiers binaires en mode noyau à l’aide d’un certificat de test. La ligne de commande suivante montre comment exécuter SignTool pour effectuer les opérations suivantes :
Test-signez la version 64 bits du fichier binaire de l’exemple Toastpkg, toaster.sys. Dans le répertoire d’installation WDK, ce fichier se trouve dans le répertoire src\general\toaster\toastpkg\toastcd\amd64 .
Utilisez un certificat d’éditeur de logiciels (SPC) émis par une autorité de certification commerciale .
Utilisez un certificat croisé compatible pour SPC.
Attribuez un horodatage à la signature numérique par le biais d’une autorité d’horodatage (TSA).
Pour tester-signer le fichier toaster.sys , exécutez la ligne de commande suivante :
Signtool sign /v /fd sha256 /ac MSCV-VSClass3.cer /s MyPersonalStore /n contoso.com /t http://timestamp.digicert.com amd64\toaster.sys
Où :
La commande sign configure SignTool pour signer le fichier binaire en mode noyau spécifié, amd64\toaster.sys.
L’option /v active les opérations détaillées, dans lesquelles SignTool affiche des messages d’exécution et d’avertissement réussis.
L’option /fd spécifie l’algorithme de synthèse de fichier à utiliser pour créer des signatures de fichier. La valeur par défaut est SHA1.
L’option /ac spécifie le nom du fichier qui contient le certificat croisé (MSCV-VSClass3.cer) obtenu à partir de l’autorité de certification. Utilisez le nom complet du chemin d’accès si le certificat croisé ne se trouve pas dans le répertoire actif.
L’option /s spécifie le nom du magasin de certificats personnels (MyPersonalStore) qui contient le SPC.
L’option /n spécifie le nom du certificat (Contoso.com) installé dans le magasin de certificats spécifié.
L’option /t spécifie l’URL de la TSA (
http://timestamp.digicert.com
) qui horodate la signature numérique.
Important
L’inclusion d’un horodatage fournit les informations nécessaires pour la révocation de clé en cas de compromission de la clé privée de signature du code du signataire.
- amd64\toaster.sys spécifie le nom du fichier binaire en mode noyau qui sera signé incorporé.
Pour plus d’informations sur SignTool et ses arguments de ligne de commande, consultez SignTool.
Pour plus d’informations sur la signature de mise en production d’un pilote via une signature incorporée, consultez Packages de pilotes de signature de mise en production et Signature de mise en production d’un fichier de pilote.