Signieren von WBDI-Treibern
Die spezifischen Codesignaturanforderungen für WBDI-Treiber hängen davon ab, ob der WBDI-Treiber mithilfe des Benutzermodustreiberframeworks (UMDF), des Kernelmodustreiberframeworks (KMDF) oder des Windows Driver Model (WDM) implementiert wird. Zusätzlich zur Katalogdatei, die signiert werden muss, müssen bestimmte DLLs mit einem bestimmten Attribut signiert werden. Weitere Informationen finden Sie unter Schritte zum Übermitteln eines Fingerabdrucktreibers.
Alle WBDI-Treiberpakete müssen über das WHQL-Portal signiert werden, um sicherzustellen, dass es nicht manipuliert wurde. Eine solche Signatur ist unabhängig davon erforderlich, ob der Treiber im Kernelmodus oder im Benutzermodus ausgeführt wird. Sie müssen nicht jede einzelne Datei im Paket signieren. Stattdessen erstellen Sie eine Katalogdatei, die einen Hashwert für jede Datei im Paket enthält, und signieren die Katalogdatei. Die CatalogFile-Direktive im INF gibt den Namen dieser Datei an. Für die meisten WBDI-Treiber ist die Katalogdateisignatur der einzige Signaturtyp, den Sie benötigen.
Für einige WBDI-Treiber sind mehrere Signaturen erforderlich. Ein Starttreiber im Kernelmodus, bei dem es sich um einen Treiber handelt, der während des Startvorgangs vom Windows-Ladeprogramm geladen wird, erfordert eine zusätzliche eingebettete Signatur auf x86- und x64-Plattformen. Daher muss ein Starttreiber in der Regel auf zwei Arten signiert werden:
- Ein Starttreiberpaket, das mithilfe eines INF installiert wird, muss wie andere Treibertypen über eine signierte Katalogdatei verfügen. Die Katalogdatei wird während der Installation für die Signaturüberprüfung verwendet.
- Die Binärdatei eines Starttreibers muss eingebettet und signiert werden, indem ein SPC mit einem entsprechenden Kreuzzertifikat verwendet wird. Ein zertifikatübergreifendes Zertifikat wird von einer Zertifizierungsstelle (als vertrauenswürdiger Stamm bezeichnet) ausgestellt, die den öffentlichen Schlüssel für das Stammzertifikat einer anderen Zertifizierungsstelle signiert, wodurch eine Vertrauenskette von einer einzelnen, vertrauenswürdigen Stammzertifizierungsstelle bis zu mehreren anderen Zertifizierungsstellen erstellt wird.
In der Regel signieren Sie eine Treiberbinärdatei eingebettet, nachdem Sie die Katalogdatei des Pakets erstellt und signiert haben.
Starttreiber weisen die folgenden Merkmale auf:
- Das INF des Treibers gibt den Starttyp als "Start=0" an.
- Ein Kerneldienst ist mit einem ServiceType des Kerneltreibers oder Dateisystemtreibers konfiguriert und hat StartMode auf "boot" festgelegt.
In diesem Thema werden die Details der Anforderungen oder Verfahren für die Treibersignatur nicht behandelt. Allgemeine Informationen zu Signaturanforderungen für Treiber finden Sie unter Treibersignatur.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für