驗證Release-Signature

  • 發行項

驅動程式套件 發行簽署之後, SignTool 工具可用來驗證簽章:

  • 驅動程式套件內的個別檔案。

  • 核心模式二進位檔,例如已內嵌簽署的驅動程式。

本主題中的範例會使用 Toastpkg 範例二進位檔的 64 位版本, toaster.sys。 在 WDK 安裝目錄中,此檔案位於 src\general\toast\toastpkg\toastcd\amd64 目錄中。

下列範例會驗證tstamd64.cat發行簽署目錄檔案toaster.sys的簽章:

Signtool verify /kp /v /c tstamd64.cat amd64\toaster.sys

其中:

  • verify命令會將 SignTool 設定為驗證指定類別目錄檔案中的簽章, (tstamd64.cat) 。

  • /kp選項會將 SignTool 設定為確認已符合核心原則。

  • /v選項會將 SignTool 設定為列印執行和警告訊息。

  • /c選項會指定驅動程式套件的類別目錄檔案,該檔案已發行 (tstamd64.cat) 。 如果您要驗證內嵌簽署驅動程式的數位簽章,請勿使用此選項。

  • amd64\toaster.sys 是要驗證的檔案名。

在標示為「簽署憑證鏈結」的此命令輸出下,您應該確認下列為 true:

  • 核心原則憑證鏈結的根目錄會發行給 Microsoft 程式碼驗證根目錄和 。

  • Microsoft 程式碼驗證根憑證也會發行至類別 3 公開主要憑證授權單位單位的交叉憑證。

對於已簽署的類別目錄檔案,也可以在驅動程式套件內的任何核心模式二進位檔案上驗證預設 Authenticode 驗證原則簽章。 這可確保檔案顯示為登入的使用者模式隨插即用安裝對話方塊和 MMC 裝置管理員嵌入式管理單元。

注意 這個範例僅用於驗證發行簽署 的類別目錄檔案 ,而不是內嵌簽署的核心模式二進位檔案。

下列範例會驗證tstamd64.cat 已簽署目錄檔案中toaster.sys的預設 Authenticode 驗證原則:

Signtool verify /pa /v /c tstamd64.cat amd64\toaster.sys

其中:

  • verify命令會將 SignTool 設定為驗證指定檔案中的簽章

  • /pa選項會設定 SignTool 以確認已符合 Authenticode 驗證原則。

  • /v選項會將 SignTool 設定為列印執行和警告訊息。

  • /c選項會指定驅動程式套件的類別目錄檔案,該檔案已發行 (tstamd64.cat) 。

  • amd64\toaster.sys 是要驗證的檔案名。

在標示為「簽署憑證鏈結」的此命令輸出下,您應該確認預設的 Authenticode 憑證鏈結已核發給類別 3 公開主要憑證授權單位單位。

您也可以遵循下列步驟,透過 Windows 檔案總管驗證類別目錄檔案本身的數位簽章:

  • 以滑鼠右鍵按一下 目錄檔案 ,然後選取 [屬性]。

  • 對於數位簽署的檔案,檔案的 [ 屬性 ] 對話方塊會有額外的 [ 數位簽章 ] 索引標籤,其中會顯示用來簽署檔案之憑證的簽章、時間戳記和詳細資料。

如需如何發行簽署驅動程式套件的詳細資訊,請參閱 發行簽署驅動程式套件驗證類別目錄檔案的 SPC 簽章