Release-Signing um arquivo de catálogo de pacote de driver
Depois que o arquivo de catálogo de um pacote de driver for criado ou atualizado, o arquivo de catálogo poderá ser assinado por meio do SignTool. Depois de assinada, a assinatura digital armazenada no arquivo de catálogo será invalidada se algum componente do pacote de driver for modificado.
Ao assinar digitalmente um arquivo de catálogo, o SignTool salva a assinatura digital no arquivo de catálogo. Os componentes do pacote de driver não são alterados pelo SignTool. No entanto, como o arquivo de catálogo contém valores de hash dos componentes do pacote de driver, a assinatura digital dentro do arquivo de catálogo é mantida desde que o hash dos componentes tenha o mesmo valor.
SignTool também pode adicionar um carimbo de data/hora à assinatura digital. O carimbo de data/hora permite determinar quando uma assinatura foi criada e dá suporte a opções de revogação de certificado mais flexíveis, se necessário.
A linha de comando a seguir mostra como executar o SignTool para fazer o seguinte:
Assine o arquivo de catálogo tstamd64.cat do pacote de driver de exemplo ToastPkg. Para obter mais informações sobre como esse arquivo de catálogo foi criado, consulte Criando um arquivo de catálogo para Release-Signing um pacote de driver.
Use um Certificado do Publicador de Software (SPC) emitido por uma AC (autoridade de certificação) comercial.
Use um certificado cruzado compatível para SPC.
Atribua um carimbo de data/hora à assinatura digital por meio de uma TSA (autoridade de carimbo de data/hora).
Para assinar o arquivo de catálogo tstamd64.cat , execute a seguinte linha de comando:
Signtool sign /v /fd sha256 /ac MSCV-VSClass3.cer /s MyPersonalStore /n contoso.com /t http://timestamp.digicert.com tstamd64.cat
Em que:
O comando sign configura SignTool para assinar o arquivo de catálogo especificado , tstamd64.cat.
A opção /v habilita operações detalhadas, nas quais o SignTool exibe mensagens de aviso e execução bem-sucedidas.
A opção /fd especifica o algoritmo de resumo de arquivo a ser usado para criar assinaturas de arquivo. O padrão é SHA1.
A opção /ac especifica o nome do arquivo que contém o certificado cruzado (MSCV-VSClass3.cer) obtido da AC. Use o nome do caminho completo se o certificado cruzado não estiver no diretório atual.
A opção /s especifica o nome do repositório de certificados Pessoal (MyPersonalStore) que contém o SPC.
A opção /n especifica o nome do SPC (Contoso.com) instalado no repositório de certificados especificado.
A opção /t especifica a URL da TSA (
http://timestamp.digicert.com
) que carimbo de data/hora da assinatura digital.
Importante
A inclusão de um carimbo de data/hora fornece as informações necessárias para revogação de chave caso a chave privada de assinatura de código do signatário seja comprometida.
- tstamd64.cat especifica o nome do arquivo de catálogo, que será assinado digitalmente.
Para obter mais informações sobre o SignTool e seus argumentos de linha de comando, consulte SignTool.
Para obter mais informações sobre pacotes de driver de assinatura de versão, consulte Pacotes de driver de assinatura de versão.