Test-Signing файла каталога пакета драйверов
После создания или обновления файла каталога для пакета драйверов файл каталога можно подписать с помощью SignTool. После подписания цифровая подпись, хранящуюся в файле каталога, становится недействительной при изменении каких-либо компонентов пакета драйвера.
При цифровой подписи файла каталога SignTool сохраняет цифровую подпись в файле каталога. Компоненты пакета драйверов не изменяются с помощью SignTool. Однако, поскольку файл каталога содержит хэшированные значения компонентов пакета драйвера, цифровая подпись в файле каталога сохраняется до тех пор, пока компоненты хэшируют то же значение.
SignTool также может добавить метку времени в цифровую подпись. Метка времени позволяет определить, когда была создана подпись, и при необходимости поддерживает более гибкие варианты отзыва сертификатов.
В следующей командной строке показано, как запустить SignTool для выполнения следующих действий:
Test-sign the tstamd64.cat catalog file of the ToastPkg sample driver package. Дополнительные сведения о создании этого файла каталога см. в разделе Создание файла каталога для Test-Signing пакета драйверов.
Используйте сертификат Contoso.com(Test) из PrivateCertStore для тестовой подписи. Дополнительные сведения о создании этого сертификата см. в разделе Создание тестовых сертификатов.
Метка времени цифровой подписи через центр метки времени (TSA).
Чтобы проверить и подписать файл каталога tstamd64.cat , выполните следующую командную строку:
Signtool sign /v /fd sha256 /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.digicert.com tstamd64.cat
Где:
Команда sign настраивает SignTool для подписывания указанного файла каталога, tstamd64.cat.
Параметр /v включает подробные операции, в которых SignTool отображает сообщения об успешном выполнении и предупреждения.
Параметр /fd указывает алгоритм дайджеста файла, используемый для создания подписей файлов. Значение по умолчанию - SHA1.
Параметр /s указывает имя хранилища сертификатов (PrivateCertStore), содержащего тестовый сертификат.
Параметр /n указывает имя сертификата (Contoso.com(Test)), установленного в указанном хранилище сертификатов.
Параметр /t указывает URL-адрес TSA (
http://timestamp.digicert.com), который будет меткой времени цифровой подписи.Важно!
Включение метки времени предоставляет необходимые сведения для отзыва ключа в случае компрометации закрытого ключа подписывания кода подписывающего.
tstamd64.cat указывает имя файла каталога, который будет иметь цифровую подпись.
Дополнительные сведения о SignTool и его аргументах командной строки см. в разделе SignTool.
Дополнительные сведения о тестовой подписи файла каталога пакета драйверов см. в разделе Test-Signing a Catalog File.