Test-Signing un fichier binaire de pilote via une signature incorporée
Un fichier catalogue signé est tout ce que vous devez avoir pour installer et charger correctement la plupart des packages de pilotes. Toutefois, la signature incorporée de certains fichiers binaires dans le package de pilotes peut également être nécessaire pour certains scénarios. La signature incorporée fait référence à l’ajout d’une signature numérique au fichier image binaire du pilote lui-même, au lieu de s’appuyer sur la signature numérique dans un fichier catalogue. Par conséquent, l’image binaire du pilote est modifiée lorsque le pilote est incorporé signé.
La signature incorporée des fichiers binaires en mode noyau est requise chaque fois que le pilote est un pilote de démarrage. Dans les versions 64 bits de Windows Vista et les versions ultérieures de Windows, les exigences de signature de code en mode noyau indiquent qu’un pilote de démarrage doit avoir une signature incorporée. Notez que cela s’ajoute au fichier catalogue du package de pilotes qui doit répondre aux exigences de signature de l’installation du périphérique PnP.
Comme avec les fichiers catalogue, SignTool est utilisé pour incorporer une signature numérique dans des fichiers binaires en mode noyau à l’aide d’un certificat de test. La ligne de commande suivante montre comment exécuter SignTool pour effectuer les opérations suivantes :
Test-signez la version 64 bits du fichier binaire de l’exemple Toastpkg, toaster.sys. Dans le répertoire d’installation WDK, ce fichier se trouve dans le répertoire src\general\toaster\toastpkg\toastcd\amd64 .
Utilisez le certificat Contoso.com(Test) du PrivateCertStore pour la signature de test. Pour plus d’informations sur la création de ce certificat, consultez Création de certificats de test.
Horodatage de la signature numérique par le biais d’une autorité d’horodatage (TSA).
Pour tester la signature du fichier toaster.sys , exécutez la ligne de commande suivante :
Signtool sign /v /fd sha256 /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.digicert.com amd64\toaster.sys
Où :
La commande sign configure SignTool pour signer le fichier catalogue spécifié, tstamd64.cat.
L’option /v active les opérations détaillées, dans lesquelles SignTool affiche des messages d’avertissement et d’exécution réussies.
L’option /fd spécifie l’algorithme de synthèse de fichier à utiliser pour créer des signatures de fichier. La valeur par défaut est SHA1.
L’option /s spécifie le nom du magasin de certificats (PrivateCertStore) qui contient le certificat de test.
L’option /n spécifie le nom du certificat (Contoso.com(Test)) installé dans le magasin de certificats spécifié.
L’option /t spécifie l’URL de la TSA (
http://timestamp.digicert.com) qui marquera la signature numérique.
Important
L’inclusion d’un horodatage fournit les informations nécessaires pour la révocation de clé en cas de compromission de la clé privée de signature du code du signataire.
- amd64\toaster.sys spécifie le nom du fichier binaire en mode noyau qui sera signé en incorporé.
Pour plus d’informations sur SignTool et ses arguments de ligne de commande, consultez SignTool.
Pour plus d’informations sur la façon de tester-signer un pilote à l’aide d’une signature incorporée, consultez Tester la signature d’un fichier de pilote.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour