Verificando o Release-Signature

  • Artigo

Depois que um pacote de driver é assinado pela versão, a ferramenta SignTool pode ser usada para verificar as assinaturas de:

  • Arquivos individuais dentro do pacote de driver.

  • Binários no modo kernel, como drivers, que foram inseridos.

Os exemplos neste tópico usam a versão de 64 bits do arquivo binário do exemplo toastpkg, toaster.sys. No diretório de instalação do WDK, esse arquivo está localizado no diretório src\general\toaster\toastpkg\toastcd\amd64 .

O exemplo a seguir verifica a assinatura de toaster.sysnotstamd64.cat arquivo de catálogo assinado pela versão:

Signtool verify /kp /v /c tstamd64.cat amd64\toaster.sys

Em que:

  • O comando verify configura SignTool para verificar a assinatura no arquivo de catálogo especificado (tstamd64.cat).

  • A opção /kp configura SignTool para verificar se a política de kernel foi atendida.

  • A opção /v configura SignTool para imprimir mensagens de execução e aviso.

  • A opção /c especifica o arquivo de catálogo do pacote de driver que foi lançado (tstamd64.cat). Se você estiver verificando a assinatura digital de um driver assinado inserido, não use essa opção.

  • amd64\toaster.sys é o nome do arquivo a ser verificado.

Na saída desse comando rotulada "Cadeia de Certificados de Autenticação", você deve verificar se o seguinte é verdadeiro:

  • A raiz da cadeia de certificados para a política de kernel é emitida para e pela Raiz de Verificação de Código da Microsoft.

  • O certificado cruzado, que é emitido para a Autoridade de Certificação Primária Pública de Classe 3, também é emitido pela Raiz de Verificação de Código da Microsoft.

Para um arquivo de catálogo assinado, a assinatura da política de verificação do Authenticode Padrão também pode ser verificada em qualquer arquivo binário no modo kernel dentro do pacote de driver. Isso garante que o arquivo apareça como conectado no modo de usuário Plug and Play caixas de diálogo de instalação e o snap-in Gerenciador de Dispositivos MMC.

Nota Este exemplo é usado apenas para verificação de arquivos de catálogo assinados por versão e não arquivos binários do modo kernel assinados.

O exemplo a seguir verifica a política de verificação do Authenticode padrão de toaster.sys no arquivo de catálogo assinado tstamd64.cat :

Signtool verify /pa /v /c tstamd64.cat amd64\toaster.sys

Em que:

  • O comando verify configura SignTool para verificar a assinatura no arquivo especificado.

  • A opção /pa configura SignTool para verificar se a política de verificação do Authenticode foi atendida.

  • A opção /v configura SignTool para imprimir mensagens de execução e aviso.

  • A opção /c especifica o arquivo de catálogo do pacote de driver que foi assinado com liberação (tstamd64.cat).

  • amd64\toaster.sys é o nome do arquivo a ser verificado.

Na saída desse comando rotulada "Cadeia de Certificados de Autenticação", você deve verificar se a cadeia de certificados Authenticode padrão foi emitida para e por uma Autoridade de Certificação Primária Pública de Classe 3.

Você também pode verificar a assinatura digital do próprio arquivo de catálogo por meio do Windows Explorer seguindo estas etapas:

  • Clique com o botão direito do mouse no arquivo de catálogo e selecione Propriedades.

  • Para arquivos assinados digitalmente, a caixa de diálogo Propriedades do arquivo tem uma guia Assinatura Digital adicional, na qual a assinatura, o carimbo de data/hora e os detalhes do certificado que foi usado para assinar o arquivo são exibidos.

Para obter mais informações sobre como liberar pacotes de driver de assinatura, consulte Pacotes de driver de assinatura de versão e Verificando a assinatura SPC de um arquivo de catálogo.