Release-Signing файла каталога пакета драйверов
После создания или обновления файла каталога для пакета драйверов файл каталога можно подписать с помощью SignTool. После подписания цифровая подпись, хранящуюся в файле каталога, становится недействительной при изменении каких-либо компонентов пакета драйвера.
При цифровой подписи файла каталога SignTool сохраняет цифровую подпись в файле каталога. Компоненты пакета драйверов не изменяются с помощью SignTool. Однако, поскольку файл каталога содержит хэшированные значения компонентов пакета драйвера, цифровая подпись в файле каталога сохраняется до тех пор, пока компоненты хэшируют то же значение.
SignTool также может добавить метку времени в цифровую подпись. Метка времени позволяет определить, когда была создана подпись, и при необходимости поддерживает более гибкие варианты отзыва сертификатов.
В следующей командной строке показано, как запустить SignTool для выполнения следующих действий:
Release-sign the tstamd64.cat catalog file of the ToastPkg sample driver package. Дополнительные сведения о создании этого файла каталога см. в разделе Создание файла каталога для Release-Signing пакета драйверов.
Используйте сертификат издателя программного обеспечения (SPC), выданный коммерческим центром сертификации (ЦС).
Используйте совместимый кросс-сертификат для SPC.
Назначьте метку времени цифровой подписи с помощью центра метки времени (TSA).
Чтобы освободить файл каталога tstamd64.cat , выполните следующую командную строку:
Signtool sign /v /fd sha256 /ac MSCV-VSClass3.cer /s MyPersonalStore /n contoso.com /t http://timestamp.digicert.com tstamd64.cat
Где:
Команда sign настраивает SignTool для подписывания указанного файла каталога , tstamd64.cat.
Параметр /v включает подробные операции, в которых SignTool отображает сообщения об успешном выполнении и предупреждения.
Параметр /fd указывает алгоритм дайджеста файла, используемый для создания подписей файлов. Значение по умолчанию - SHA1.
Параметр /ac указывает имя файла, содержащего перекрестный сертификат (MSCV-VSClass3.cer), полученный из ЦС. Используйте полное имя пути, если перекрестный сертификат не находится в текущем каталоге.
Параметр /s указывает имя личного хранилища сертификатов (MyPersonalStore), которое содержит SPC.
Параметр /n указывает имя SPC (Contoso.com), установленного в указанном хранилище сертификатов.
Параметр /t указывает URL-адрес TSA (
http://timestamp.digicert.com), который будет меткой времени цифровой подписи.
Важно!
Включение метки времени предоставляет необходимые сведения для отзыва ключа в случае компрометации закрытого ключа подписывания кода подписывающего.
- tstamd64.cat указывает имя файла каталога, который будет иметь цифровую подпись.
Дополнительные сведения о SignTool и его аргументах командной строки см. в разделе SignTool.
Дополнительные сведения о пакетах драйверов для подписывания выпусков см. в разделе Пакеты драйверов для подписывания выпуска.