Поделиться через

Проверка Release-Signature

  • Статья

После того как пакет драйвера будет подписан на выпуск, средство SignTool можно использовать для проверки подписей:

  • Отдельные файлы в пакете драйверов.

  • Двоичные файлы в режиме ядра, например драйверы, которые были внедрены с подписью.

В примерах в этом разделе используется 64-разрядная версия двоичного файла примера Toastpkg ,toaster.sys. В каталоге установки WDK этот файл находится в каталоге src\general\тостер\toastpkg\toastcd\amd64 .

В следующем примере проверяется сигнатура toaster.sys в файле каталогаtstamd64.cat с подписью release:

Signtool verify /kp /v /c tstamd64.cat amd64\toaster.sys

Где:

  • Команда verify настраивает SignTool для проверки подписи в указанном файле каталога (tstamd64.cat).

  • Параметр /kp настраивает SignTool для проверки выполнения политики ядра.

  • Параметр /v настраивает SignTool для печати сообщений о выполнении и предупреждениях.

  • Параметр /c указывает файл каталога пакета драйвера, который был выпущен с подписью (tstamd64.cat). Если вы проверяете цифровую подпись драйвера с внедренной подписью, не используйте этот параметр.

  • amd64\toaster.sys — имя проверяемого файла.

В выходных данных этой команды с меткой "Цепочка сертификатов подписи" следует убедиться, что выполняется следующее:

  • Корень цепочки сертификатов для политики ядра выдается в и корневым корнем проверки кода Майкрософт.

  • Перекрестный сертификат, выданный общедоступному основному центру сертификации класса 3, также выдается корневым корнем проверки кода Майкрософт.

Для подписанного файла каталога подпись политики проверки Default Authenticode также может быть проверена в любом двоичном файле в режиме ядра в пакете драйвера. Это гарантирует, что файл будет отображаться как подписанный в пользовательском режиме Plug and Play диалоговых окнах установки и оснастке mmc диспетчер устройств.

Примечание Этот пример используется только для проверки файлов каталога , подписанных выпуском, а не двоичных файлов в режиме ядра с внедренной подписью.

В следующем примере проверяется политика проверки По умолчанию Authenticode toaster.sys в файле подписанного каталога tstamd64.cat :

Signtool verify /pa /v /c tstamd64.cat amd64\toaster.sys

Где:

  • Команда verify настраивает SignTool для проверки подписи в указанном файле.

  • Параметр /pa настраивает SignTool, чтобы убедиться, что политика проверки Authenticode выполнена.

  • Параметр /v настраивает SignTool для печати сообщений о выполнении и предупреждениях.

  • Параметр /c указывает файл каталога пакета драйвера, который был выпущен с подписью (tstamd64.cat).

  • amd64\toaster.sys — имя проверяемого файла.

В выходных данных этой команды с меткой "Цепочка сертификатов для подписи" следует убедиться, что цепочка сертификатов Authenticode по умолчанию выдана общедоступному основному центру сертификации класса 3 и .

Вы также можете проверить цифровую подпись самого файла каталога через Windows Обозреватель, выполнив следующие действия.

  • Щелкните правой кнопкой мыши файл каталога и выберите Свойства.

  • Для файлов с цифровой подписью диалоговое окно Свойства файла содержит дополнительную вкладку Цифровая подпись , на которой отображаются подпись, метка времени и сведения о сертификате, который использовался для подписи файла.

Дополнительные сведения о том, как освободить и подписать пакеты драйверов, см. в разделах Release-Signing Driver Packages и Verifying the SPC Signature of a Catalog File.