ドライバー パッケージのカタログ ファイルのテスト署名

ドライバー パッケージのカタログ ファイルが作成または更新された後に、カタログ ファイルは SignTool を使用して署名できます。 一度署名されると、カタログ ファイル内に格納されているデジタル署名は、ドライバー パッケージのコンポーネントが変更されると、無効になります。

カタログ ファイルにデジタル署名する場合、SignTool はカタログ ファイル内にデジタル署名を保存します。 ドライバー パッケージのコンポーネントは、SignTool によって変更されません。 ただし、カタログ ファイルにはドライバー パッケージのコンポーネントのハッシュ値が含まれるため、カタログ ファイル内のデジタル署名は、コンポーネントのハッシュ値が同じである限り、維持されます。

SignTool では、デジタル署名にタイム スタンプを追加することもできます。 タイム スタンプを使用することで、署名がいつ作成されたかを判断できるようになり、必要に応じて、より柔軟な証明書失効オプションをサポートできます。

次のコマンド ラインは、SignTool を実行して次の操作を行う方法を示しています。

• ToastPkg サンプル ドライバー パッケージの tstamd64.cat カタログ ファイルをテスト署名します。 この カタログ ファイル の作成方法の詳細については、「ドライバー パッケージ のテスト署名用のカタログ ファイルの作成」を参照してください。

• テスト署名には、PrivateCertStore の Contoso.com(Test) 証明書を使用します。 この証明書の作成方法の詳細については、「テスト証明書の作成」を参照してください。

• タイム スタンプ機関 (TSA) を介してデジタル署名にタイムスタンプを付けます。

tstamd64.cat カタログファイルにテスト署名をするには、以下のコマンドラインを実行します。

Signtool sign /v /fd sha256 /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.digicert.com tstamd64.cat

ここで:

• 署名コマンドは、指定されたカタログ ファイル (tstamd64.cat) に署名するように SignTool を設定します。

• /v オプションは、SignTool が正常な実行と警告メッセージを表示する詳細な操作を有効にします。

• /fd オプションは、ファイル署名を作成するために使用するファイル ダイジェスト アルゴリズムを指定します。 既定値は SHA1 です。

• /s オプションは、テスト証明書 ( PrivateCertStore ) を含む証明書ストアの名前を指定します。

• /n オプションは、指定した証明書ストアにインストールされている 証明書 ( Contoso.com(Test )) の名前を指定します。

• /t オプションは 、 デジタル署名のタイムスタンプを設定する TSA (http://timestamp.digicert.com) の URL を指定します。

  重要

  タイム スタンプを含めると、署名者のコード署名秘密キーが侵害された場合に備え、キーの失効に必要な情報が提供されます。

• tstamd64.cat は、デジタル署名されるカタログ ファイルの名前を指定します。

SignTool とそのコマンド ライン引数の詳細については、「SignTool」を参照してください。

ドライバー パッケージのカタログ ファイルのテスト署名の詳細については、「カタログ ファイルのテスト署名」を参照してください。