Vérification du Release-Signature
Une fois qu’un package de pilotes est signé en version, l’outil SignTool peut être utilisé pour vérifier les signatures de :
Fichiers individuels dans le package de pilotes.
Les fichiers binaires en mode noyau, tels que les pilotes, qui ont été incorporés signés.
Les exemples de cette rubrique utilisent la version 64 bits du fichier binaire de l’exemple Toastpkg, toaster.sys. Dans le répertoire d’installation WDK, ce fichier se trouve dans le répertoire src\general\toaster\toastpkg\toastcd\amd64 .
L’exemple suivant vérifie la signature de toaster.sys dans le fichier cataloguetstamd64.cat version signée :
Signtool verify /kp /v /c tstamd64.cat amd64\toaster.sys
Où :
La commande verify configure SignTool pour vérifier la signature dans le fichier catalogue (tstamd64.cat) spécifié.
L’option /kp configure SignTool pour vérifier que la stratégie de noyau a été respectée.
L’option /v configure SignTool pour imprimer les messages d’exécution et d’avertissement.
L’option /c spécifie le fichier catalogue du package de pilotes qui a été publié-signé (tstamd64.cat). Si vous vérifiez la signature numérique d’un pilote signé incorporé, n’utilisez pas cette option.
amd64\toaster.sys est le nom du fichier à vérifier.
Sous la sortie de cette commande intitulée « Chaîne de certificats de signature », vous devez vérifier que les éléments suivants sont vrais :
La racine de la chaîne de certificats pour la stratégie de noyau est émise à et par la racine de vérification du code Microsoft.
Le certificat croisé, qui est émis à l’autorité de certification principale publique de classe 3, est également émis par la racine de vérification du code Microsoft.
Pour un fichier catalogue signé, la signature de la stratégie de vérification Authenticode par défaut peut également être vérifiée sur n’importe quel fichier binaire en mode noyau dans le package de pilotes. Cela garantit que le fichier apparaît comme connecté dans les boîtes de dialogue d’installation Plug-and-Play mode utilisateur et dans le composant logiciel enfichable MMC Gestionnaire de périphériques.
Note Cet exemple est utilisé uniquement pour la vérification des fichiers catalogue signés en version et non pour les fichiers binaires en mode noyau signés incorporés.
L’exemple suivant vérifie la stratégie de vérification Authenticode par défaut de toaster.sys dans le fichier catalogue signé tstamd64.cat :
Signtool verify /pa /v /c tstamd64.cat amd64\toaster.sys
Où :
La commande verify configure SignTool pour vérifier la signature dans le fichier spécifié.
L’option /pa configure SignTool pour vérifier que la stratégie de vérification Authenticode a été respectée.
L’option /v configure SignTool pour imprimer les messages d’exécution et d’avertissement.
L’option /c spécifie le fichier catalogue du package de pilotes qui a été publié-signé (tstamd64.cat).
amd64\toaster.sys est le nom du fichier à vérifier.
Sous la sortie de cette commande intitulée « Chaîne de certificats de signature », vous devez vérifier que la chaîne de certificats Authenticode par défaut est émise pour et par une autorité de certification primaire publique de classe 3.
Vous pouvez également vérifier la signature numérique du fichier catalogue lui-même via Windows Explorer en procédant comme suit :
Cliquez avec le bouton droit sur le fichier catalogue , puis sélectionnez Propriétés.
Pour les fichiers signés numériquement, la boîte de dialogue Propriétés du fichier comporte un onglet Signature numérique supplémentaire, sur lequel apparaissent la signature, l’horodatage et les détails du certificat utilisé pour signer le fichier.
Pour plus d’informations sur la mise en production des packages de pilotes de signature, consultez Packages de pilotes de signature de mise en production et Vérification de la signature SPC d’un fichier catalogue.