Partilhar via


Como validar a assinatura da Microsoft

Este artigo mostra como validar a assinatura da Microsoft para um envio.

Há alguns casos em que talvez você queira validar a assinatura da Microsoft para um envio:

  • Você não tem certeza se um driver é assinado pela Microsoft ou não e deseja verificar.
  • Você tem dois drivers. Você precisa determinar qual é assinado pelo atestado e qual é assinado após o envio dos resultados do HLK/HCK para o painel.

Etapa 1: baixar arquivos de driver assinados

Baixe os arquivos assinados necessários para validar a assinatura da Microsoft.

Observação

A pasta de envio do driver está localizada nos arquivos de pacote. Esses arquivos são assinados pela Microsoft. O parceiro não precisa assinar o payload retornado. A Microsoft sempre retorna um arquivo .cat com um envio aprovado. Se um parceiro incluir seu próprio arquivo .cat. A Microsoft o descarta e retorna seu próprio arquivo .cat assinado.

No passado, a Microsoft assinava apenas o arquivo .cat. A partir do Windows 10, a Microsoft agora assina todos os executáveis portáteis no payload retornado. Por exemplo, o arquivo .dll também é assinado pela Microsoft:

Para baixar os arquivos assinados pelo driver:

  1. Localize o envio de hardware que contém os drivers para os quais você deseja baixar arquivos assinados.
  2. Selecione a ID Privada do Produto para abrir os detalhes do driver.
  3. Na página de detalhes do driver, em Pacotes e propriedades de assinatura, selecione Mais.
  4. Selecione Baixar arquivos assinados.

Etapa 2: verificar o uso aprimorado de chave (EKU)

Depois de baixar os arquivos assinados, valide a assinatura da Microsoft verificando o EKU. O EKU pertence ao certificado que a Microsoft usa para assinar o envio.

Para verificar o EKU:

  1. Clique com o botão direito do mouse no arquivo .cat.

  2. Selecione Propriedades e, em seguida, selecione a guia Assinaturas Digitais.

  3. Selecione o nome do certificado e, em seguida, selecione Detalhes.

  4. Na guia Detalhes , selecione Uso Aprimorado de Chave. Lá, consulte os EKUs e os valores de OID (identificador de objeto) correspondentes para o certificado. Nesse caso, o OID de Verificação de Driver de Hardware do Windows termina com um 5, o que significa que o driver não é assinado por atestado:

    Captura de tela do painel de detalhes do EKU para o driver não assinado para atestado. OID termina com 5.

  5. Se o driver for assinado por atestado, o OID terminará com 1:

    Captura de tela do painel de detalhes do EKU para o driver assinado para atestado. A OID termina com 1.