透過內嵌簽章Test-Signing驅動程式二進位檔
簽署 的類別目錄檔案 是您必須正確安裝和載入大部分 驅動程式套件的所有檔案。 不過,在某些情況下,驅動程式套件中某些二進位檔的內嵌簽署可能也需要。 內嵌簽署是指將數位簽章新增至驅動程式的二進位映射檔案本身,而不是依賴類別目錄檔案中的數位簽章。 因此,驅動程式的二進位映射會在驅動程式內嵌簽署時修改。
每當驅動程式是開機啟動驅動程式時,都需要內嵌簽署核心模式二進位檔。 在 64 位版本的 Windows Vista 和更新版本的 Windows 中,核心模式程式碼簽署需求會指出 開機啟動驅動程式 必須具有內嵌簽章。 請注意,這除了需要符合 PnP 裝置安裝簽署需求的驅動程式套件目錄檔案之外。
如同 類別目錄檔案, SignTool 是用來使用測試憑證,在核心模式二進位檔內嵌數位簽章。 下列命令列示範如何執行 SignTool 來執行下列動作:
測試簽署 Toastpkg 範例二進位檔案的 64 位版本,toaster.sys。 在 WDK 安裝目錄中,此檔案位於 src\general\toaster\toastpkg\toastcd\amd64 目錄中。
針對測試簽章,請使用 PrivateCertStore 中的 Contoso.com (測試) 憑證。 如需如何建立此憑證的詳細資訊,請參閱 建立測試憑證。
透過時間戳記授權單位的時間戳記 (TSA) 。
若要測試簽署 toaster.sys 檔案,請執行下列命令列:
Signtool sign /v /fd sha256 /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.digicert.com amd64\toaster.sys
其中:
sign命令會將 SignTool 設定為簽署指定的目錄檔案,tstamd64.cat。
/v選項會啟用詳細資訊作業,其中 SignTool 會顯示成功的執行和警告訊息。
/fd選項會指定要用於建立檔案簽章的檔案摘要演算法。 預設為 SHA1。
/s選項會指定包含測試憑證的憑證存放區名稱 (PrivateCertStore) 。
/n選項會指定安裝在指定憑證存放區中的憑證名稱 (Contoso.com (Test) ) 。
/t選項會指定 TSA (的 URL)
http://timestamp.digicert.com,這會時間戳記數位簽章。
重要
包含時間戳記可提供金鑰撤銷的必要資訊,以防簽署者的程式碼簽署私密金鑰遭到入侵。
- amd64\toaster.sys 指定將內嵌簽署的核心模式二進位檔名稱。
如需 SignTool 及其命令列引數的詳細資訊,請參閱 SignTool。
如需如何使用內嵌簽章測試驅動程式簽署的詳細資訊,請參閱 測試簽署驅動程式檔案。