Freigeben über

Einführung in Release-Signing

  • Artikel

Treiberpakete sollten aus den folgenden Gründen releasesigniert sein:

  • Um die Authentizität, Integrität und Zuverlässigkeit von Treiberpaketen sicherzustellen.

    Windows verwendet digitale Signaturen, um die Identität des Herausgebers zu überprüfen und zu überprüfen, ob das Treiberpaket seit der Veröffentlichung nicht geändert wurde.

  • Um die beste Benutzererfahrung zu bieten, indem die automatische Treiberinstallation erleichtert wird.

    Wenn ein Treiberpaket nicht signiert ist, erfordert die Plug & Play(PnP)-Treiberinstallationsrichtlinie, dass ein Systemadministrator die Installation eines nicht signierten Treiberpakets manuell autorisiert und dem Installationsprozess einen zusätzlichen Schritt hinzufügt. Dieser zusätzliche Schritt kann für den durchschnittlichen Benutzer möglicherweise verwirrend und störend sein.

  • So führen Sie Binärdateien im Kernelmodus unter 64-Bit-Versionen von Windows Vista und höheren Versionen von Windows aus.

    Die Kernelmodus-Codesignaturrichtlinie für 64-Bit-Versionen von Windows Vista und höher erfordert, dass Binärdateien im Kernelmodustreiber signiert werden, damit das Betriebssystem den Treiber laden kann.

  • Um bestimmte Arten von Premium-Inhalten der nächsten Generation wiederzugeben, müssen alle Kernelmoduskomponenten in Windows Vista und höheren Versionen von Windows signiert sein. Darüber hinaus müssen alle Benutzermodus- und Kernelmoduskomponenten im Geschützten Medienpfad (PMP) der PMP-Signaturrichtlinie entsprechen. Informationen zur PMP-Signaturrichtlinie finden Sie im Whitepaper Codesignatur für geschützte Medienkomponenten in Windows Vista.

Das Hardware Certification Kit (HCK) verfügt über Testkategorien für eine Vielzahl von Gerätetypen. Wenn eine Testkategorie für den Gerätetyp in dieser Liste enthalten ist, sollte der Herausgeber des Treiberpakets eine WHQL-Releasesignatur für das Treiberpaket abrufen.

Hinweis Unter Windows Server 2003, Windows XP und Windows 2000 muss die INF-Datei aus dem WHQL-signierten Treiberpaket eine Gerätesetupklasse verwenden, die in %SystemRoot%/inf/Certclas.inf definiert ist. Andernfalls behandelt Windows das Treiberpaket als nicht signiert.

Wenn ein Treiberpaket von WHQL digital signiert wird, kann es über das Windows Update-Programm oder andere von Microsoft unterstützte Verteilungsmechanismen verteilt werden. WHQL signiert die Treiberpaketkatalogdatei, bettet jedoch keine Signaturen in Treiberdateien ein. Wenn eine Treiberbinärdatei ein Starttreiber für 64-Bit-Prozessoren ist, muss der Treiberpaketherausgeber auch eine Signatur in die Kernelmodustreiberdateien einbetten , bevor das Treiberpaket an WHQL übermittelt wird.

Wenn das Hardware Certification Kit (HCK) keine Testkategorie für Ihren Gerätetyp aufweist, müssen Sie die folgenden Anforderungen erfüllen, um Ihre Treiberpakete unter Windows Vista und höheren Versionen von Windows zu signieren :

Ein SPC und ein kommerzielles Releasezertifikat werden zusammen als Releasezertifikate bezeichnet, und eine mit einem Releasezertifikat generierte Signatur wird als Releasesignatur bezeichnet.

Weitere Informationen zu den Anforderungen und Verfahren für die Releasesignatur finden Sie unter Release-Signing-Treiberpakete.

Hinweis Informationen zu den Schritten, die bei Releasesignaturtreiberpaketen erforderlich sind, finden Sie unter Release-Sign eines Treiberpakets. Dieses Thema enthält eine Zusammenfassung des Releasesignaturprozesses und schritte durch viele Beispiele für die Releasesignatur mithilfe des ToastPkg-Beispieltreiberpakets im Windows Driver Kit (WDK).