포함된 서명을 통해 드라이버 이진 파일 Release-Signing

서명된 카탈로그 파일 은 대부분의 드라이버 패키지를 올바르게 설치하고 로드해야 하는 모든 파일입니다. 그러나 일부 시나리오에서는 드라이버 패키지의 일부 이진 파일에 대한 임베디드 서명이 필요할 수도 있습니다. 임베디드 서명은 카탈로그 파일의 디지털 서명에 의존하는 대신 드라이버의 이진 이미지 파일 자체에 디지털 서명을 추가하는 것을 의미합니다. 결과적으로 드라이버의 이진 이미지는 드라이버가 임베디드 서명될 때 수정됩니다.

커널 모드 이진 파일(예: 드라이버 및 연결된 .dll 파일)의 임베디드 서명은 다음과 같은 경우에 필요합니다.

• 드라이버 이진 파일은 부팅 시작 드라이버입니다. 64비트 버전의 Windows Vista 이상 버전의 Windows에서는 커널 모드 코드 서명 요구 사항에 따라 부팅 시작 드라이버 에 포함된 서명이 있어야 합니다. 이는 드라이버의 드라이버 패키지에 디지털 서명된 카탈로그 파일이 있는지 여부에 관계없이 필요합니다.

• 드라이버 이진 파일은 드라이버 패키지 및 카탈로그 파일을 포함하지 않는 수단을 통해 설치됩니다.

카탈로그 파일과 마찬가지로 SignTool 도구는 테스트 인증서를 사용하여 커널 모드 이진 파일 내에 디지털 서명을 포함하는 데 사용됩니다. 다음 명령줄에서는 SignTool을 실행하여 다음을 수행하는 방법을 보여줍니다.

• toaster.sys Toastpkg 샘플의 이진 파일 64비트 버전을 테스트 서명합니다. WDK 설치 디렉터리 내에서 이 파일은 src\general\toaster\toastpkg\toastcd\amd64 디렉터리에 있습니다.

• 상용 CA(인증 기관)에서 발급한 SPC(소프트웨어 게시자 인증서)를 사용합니다.

• SPC에 호환되는 교차 인증서를 사용합니다.

• TSA(타임스탬핑 기관)를 통해 디지털 서명에 타임스탬프를 할당합니다.

toaster.sys 파일을 테스트 서명하려면 다음 명령줄을 실행합니다.

Signtool sign /v /fd sha256 /ac MSCV-VSClass3.cer /s MyPersonalStore /n contoso.com /t http://timestamp.digicert.com amd64\toaster.sys

위치:

• sign 명령은 지정된 커널 모드 이진 파일에 서명하도록 SignTool을 구성하고 amd64\toaster.sys.

• /v 옵션을 사용하면 SignTool이 성공적인 실행 및 경고 메시지를 표시하는 자세한 정보 표시 작업을 사용할 수 있습니다.

• /fd 옵션은 파일 서명을 만드는 데 사용할 파일 다이제스트 알고리즘을 지정합니다. 기본값은 SHA1입니다.

• /ac 옵션은 CA에서 가져온 교차 인증서(MSCV-VSClass3.cer)를 포함하는 파일의 이름을 지정합니다. 교차 인증서가 현재 디렉터리에 없는 경우 전체 경로 이름을 사용합니다.

• /s 옵션은 SPC를 포함하는 개인 인증서 저장소(MyPersonalStore)의 이름을 지정합니다.

• /n 옵션은 지정된 인증서 저장소에 설치된 인증서(Contoso.com)의 이름을 지정합니다.

• /t 옵션은 디지털 서명을 타임스탬프할 TSA(http://timestamp.digicert.com)의 URL을 지정합니다.

중요

타임스탬프를 포함하면 서명자의 코드 서명 프라이빗 키가 손상된 경우 키 해지에 필요한 정보를 제공합니다.

• amd64\toaster.sys 포함 서명될 커널 모드 이진 파일의 이름을 지정합니다.

SignTool 및 해당 명령줄 인수에 대한 자세한 내용은 SignTool을 참조하세요.

포함된 서명을 통해 드라이버 릴리스 서명에 대한 자세한 내용은 릴리스 서명 드라이버 패키지 및 드라이버 파일 릴리스 서명을 참조하세요.