Como validar a assinatura da Microsoft
Este artigo mostra como validar a assinatura da Microsoft para um envio.
Há alguns casos em que talvez você queira validar a assinatura da Microsoft para um envio:
- Você não tem certeza se um driver é assinado pela Microsoft ou não e deseja verificar.
- Você tem dois drivers. Você precisa determinar qual é assinado pelo atestado e qual é assinado após o envio dos resultados do HLK/HCK para o painel.
Etapa 1: baixar arquivos de driver assinados
Baixe os arquivos assinados necessários para validar a assinatura da Microsoft.
Observação
A pasta de envio do driver está localizada nos arquivos de pacote. Esses arquivos são assinados pela Microsoft. O parceiro não precisa assinar o payload retornado. A Microsoft sempre retorna um arquivo .cat com um envio aprovado. Se um parceiro incluir seu próprio arquivo .cat. A Microsoft o descarta e retorna seu próprio arquivo .cat assinado.
No passado, a Microsoft assinava apenas o arquivo .cat. A partir do Windows 10, a Microsoft agora assina todos os executáveis portáteis no payload retornado. Por exemplo, o arquivo .dll também é assinado pela Microsoft:
Para baixar os arquivos assinados pelo driver:
- Localize o envio de hardware que contém os drivers para os quais você deseja baixar arquivos assinados.
- Selecione a ID Privada do Produto para abrir os detalhes do driver.
- Na página de detalhes do driver, em Pacotes e propriedades de assinatura, selecione Mais.
- Selecione Baixar arquivos assinados.
Etapa 2: verificar o uso aprimorado de chave (EKU)
Depois de baixar os arquivos assinados, valide a assinatura da Microsoft verificando o EKU. O EKU pertence ao certificado que a Microsoft usa para assinar o envio.
Para verificar o EKU:
Clique com o botão direito do mouse no arquivo .cat.
Selecione Propriedades e, em seguida, selecione a guia Assinaturas Digitais.
Selecione o nome do certificado e, em seguida, selecione Detalhes.
Na guia Detalhes , selecione Uso Aprimorado de Chave. Lá, consulte os EKUs e os valores de OID (identificador de objeto) correspondentes para o certificado. Nesse caso, o OID de Verificação de Driver de Hardware do Windows termina com um 5, o que significa que o driver não é assinado por atestado:
Se o driver for assinado por atestado, o OID terminará com 1: