Bagikan melalui


Tanda pengesahan driver Windows

Artikel ini menjelaskan cara menandatangani driver menggunakan penandatanganan pengesahan. Untuk informasi terperinci dan persyaratan untuk penandatanganan pengesahan, lihat Driver yang ditandatangani pengesahan Windows 10.

Penting

Pada 1 Maret 2023, driver yang ditandatangani pengesahan yang menargetkan audiens ritel tidak lagi diterbitkan di Windows Update. Driver yang ditandatangani pengesahan untuk skenario pengujian masih didukung saat memilih opsi CoDev atau Test Registry Key / Surface SSRK .

Prasyarat

  • Baca dan pahami persyaratan untuk driver yang ditandatangani pengesahan Windows 10.

  • Daftar untuk program Pengembang Perangkat Keras. Jika Anda belum terdaftar, ikuti langkah-langkah dalam Cara mendaftar untuk Program Pengembang Perangkat Keras Microsoft Windows.

  • Anda harus memiliki sertifikat penandatanganan kode Extended Validation (EV). Periksa apakah organisasi Anda sudah memiliki sertifikat penandatanganan kode. Jika perusahaan Anda sudah memiliki sertifikat, miliki sertifikat yang tersedia. Jika organisasi Anda tidak memiliki sertifikat, Anda perlu membeli sertifikat EV.

  • Ikuti proses yang dijelaskan dalam Unduh kit dan alat untuk Windows 10 untuk mengunduh dan menginstal Windows Driver Kit (WDK).

  • (Opsional) Unduh sampel driver echo yang digunakan dalam artikel ini.

Membuat file CAB

Di bagian ini, kami menelusuri proses pembuatan pengiriman file CAB. Kami menggunakan sampel driver echo untuk mengilustrasikan prosesnya.

Pengiriman file CAB yang khas harus berisi:

  • Driver itu sendiri, misalnya Echo.sys

  • File INF driver yang digunakan oleh dasbor untuk memfasilitasi proses penandatanganan.

  • File simbol yang digunakan untuk informasi penelusuran kesalahan. Misalnya, Echo.pdb. File .pdb diperlukan untuk alat analisis crash otomatis Microsoft.

  • File .CAT katalog diperlukan dan digunakan hanya untuk verifikasi perusahaan. Microsoft meregenerasi file katalog dan mengganti file katalog apa pun yang dikirimkan.

Catatan

Setiap folder driver dalam file CAB Anda harus mendukung serangkaian arsitektur yang sama. Misalnya, mereka harus mendukung x86, x64, atau semuanya harus mendukung x86 dan x64.

Jangan gunakan jalur berbagi file UNC saat mereferensikan lokasi driver Anda (\\\server\share). Anda harus menggunakan huruf kandar yang dipetakan agar CAB valid.

Untuk membuat file CAB:

  1. Kumpulkan biner untuk masuk ke dalam satu direktori. Dalam contoh ini, kita menggunakan C:\\Echo.

  2. Buka jendela Prompt Perintah sebagai Administrator.

  3. Masukkan MakeCab /? untuk melihat opsi MakeCab:

    C:\Echo> MakeCab /?
    Cabinet Maker - Lossless Data Compression Tool
    
    MAKECAB [/V[n]] [/D var=value ...] [/L dir] source [destination]
    MAKECAB [/V[n]] [/D var=value ...] /F directive_file [...]
    
    source         File to compress.
    destination    File name to give compressed file. If omitted, the
                   last character of the source file name is replaced
                   with an underscore (_) and used as the destination.
    /F directives  A file with MakeCAB directives (may be repeated). Refer to
                   Microsoft Cabinet SDK for information on directive_file.
    /D var=value   Defines variable with specified value.
    /L dir         Location to place destination (default is current directory).
    /V[n]          Verbosity level (1..3).
    
  4. Siapkan file kabin file input DDF. Untuk driver Echo kami, mungkin terlihat seperti ini:

    ;*** Echo.ddf example
    ;
    .OPTION EXPLICIT     ; Generate errors
    .Set CabinetFileCountThreshold=0
    .Set FolderFileCountThreshold=0
    .Set FolderSizeThreshold=0
    .Set MaxCabinetSize=0
    .Set MaxDiskFileCount=0
    .Set MaxDiskSize=0
    .Set CompressionType=MSZIP
    .Set Cabinet=on
    .Set Compress=on
    ;Specify file name for new cab file
    .Set CabinetNameTemplate=Echo.cab
    ; Specify the subdirectory for the files.
    ; Your cab file should not have files at the root level,
    ; and each driver package must be in a separate subfolder.
    .Set DestinationDir=Echo
    ;Specify files to be included in cab file
    C:\Echo\Echo.Inf
    C:\Echo\Echo.Sys
    
  5. Masukkan perintah berikut untuk membuat file CAB.

    C:\Echo> MakeCab /f "C:\Echo\Echo.ddf
    

    Output MakeCab harus menampilkan jumlah file dalam file CAB yang dibuat. Dalam hal ini, harus ada dua file.

    C:\Echo> MakeCab /f Echo.ddf
    Cabinet Maker - Lossless Data Compression Tool
    
    17,682 bytes in 2 files
    Total files:              2
    Bytes before:        17,682
    Bytes after:          7,374
    After/Before:            41.70% compression
    Time:                     0.20 seconds ( 0 hr  0 min  0.20 sec)
    Throughput:              86.77 Kb/second
    
  6. Temukan file CAB di subdirektori Disk1 . Anda dapat memilih file CAB di File Explorer untuk memverifikasi bahwa file tersebut berisi file yang diharapkan.

Menandatangani file CAB dengan sertifikat EV Anda

  1. Untuk menandatangani file CAB dengan sertifikat EV Anda, gunakan proses yang direkomendasikan oleh penyedia sertifikat EV. Misalnya, untuk menandatangani file CAB Anda dengan Sertifikat SHA256/Algoritma Hash/Tanda Waktu, masukkan perintah berikut:

    C:\Echo> SignTool sign /s MY /n "Company Name" /fd sha256 /tr http://sha256timestamp.ws.symantec.com/sha256/timestamp /td sha256 /v "C:\Echo\Disk1\Echo.cab"
    

    Penting

    Ingatlah untuk menggunakan praktik terbaik industri untuk mengelola keamanan proses penandatanganan kode EV.

Kirim file Kabin yang ditandatangani EV menggunakan Pusat Mitra

  1. Buka dasbor perangkat keras Pusat Mitra dan masuk menggunakan kredensial Anda.

  2. Pilih Kirim perangkat keras baru.

    Cuplikan layar daftar perangkat keras yang dikirimkan.

  3. Di bagian Paket dan properti penandatanganan, masukkan nama produk untuk pengiriman driver Anda. Nama ini dapat digunakan untuk mencari dan mengatur pengiriman driver Anda.

    Catatan

    Jika Anda berbagi driver Anda dengan perusahaan lain, mereka akan melihat nama ini.

  4. Biarkan kedua opsi penandatanganan pengujian tidak dicentang.

  5. Untuk Tanda Tangan yang Diminta, pilih tanda tangan mana yang ingin Anda sertakan dalam paket driver Anda.

    Cuplikan layar memperlihatkan opsi untuk mengirimkan driver echo untuk penandatanganan.

  6. Pindah ke bawah melalui halaman, dan pilih Kirim.

  7. Setelah proses penandatanganan selesai, unduh driver yang ditandatangani dari dasbor perangkat keras.

Validasi bahwa driver telah ditandatangani dengan benar

Selesaikan langkah-langkah berikut untuk memastikan bahwa driver telah ditandatangani dengan benar.

  1. Setelah Anda mengunduh file pengiriman, ekstrak file driver.

  2. Buka jendela Prompt Perintah sebagai Administrator.

  3. Masukkan perintah berikut untuk memverifikasi bahwa driver telah ditandatangani seperti yang diharapkan.

    C:\Echo> SignTool verify Echo.Sys
    
  4. Untuk mencantumkan informasi tambahan dan meminta SignTool memverifikasi semua tanda tangan dalam file dengan beberapa tanda tangan, masukkan perintah berikut:

     C:\Echo> SignTool verify /pa /ph /v /d Echo.Sys
    
  5. Untuk mengonfirmasi EKUs driver, selesaikan langkah-langkah berikut.

    1. Buka Windows Explorer dan temukan file biner. Pilih dan tahan (atau klik kanan) file dan pilih Properti.

    2. Pada tab Tanda Tangan Digital, pilih item yang tercantum di daftar Tanda Tangan.

    3. Pilih Detail, lalu pilih Tampilkan Sertifikat.

    4. Pada tab Detail , pilih Penggunaan Kunci yang Ditingkatkan.

Ketika driver diundur oleh dasbor, proses berikut digunakan:

  • Menambahkan tanda tangan yang disematkan Microsoft SHA2.
  • Jika biner driver ditandatangani oleh pelanggan dengan sertifikat mereka sendiri, tanda tangan tersebut tidak ditimpa.
  • Membuat dan menandatangani file katalog baru dengan sertifikat Microsoft SHA2. Katalog ini menggantikan katalog yang ada yang disediakan oleh pelanggan.

Menguji driver Anda di Windows

Gunakan instruksi berikut untuk menginstal driver sampel.

  1. Buka jendela Prompt Perintah sebagai Administrator. Buka folder paket driver Anda, dan masukkan perintah berikut.

    C:\Echo> devcon install echo.inf root\ECHO
    
  2. Konfirmasikan bahwa proses penginstalan driver tidak menampilkan "Windows tidak dapat memverifikasi penerbit perangkat lunak pengandar ini." Kotak dialog keamanan Windows.

Membuat pengiriman dengan beberapa driver

Untuk mengirimkan beberapa driver secara bersamaan:

  1. Buat subdirektori untuk setiap driver.

    Diagram memperlihatkan contoh struktur direktori penandatanganan driver.

  2. Siapkan file CAB file input DDF yang mereferensikan subdirektori. Secara visual, mungkin terlihat seperti ini:

    ;*** Submission.ddf multiple driver example
    ;
    .OPTION EXPLICIT     ; Generate errors
    .Set CabinetFileCountThreshold=0
    .Set FolderFileCountThreshold=0
    .Set FolderSizeThreshold=0
    .Set MaxCabinetSize=0
    .Set MaxDiskFileCount=0
    .Set MaxDiskSize=0
    .Set CompressionType=MSZIP
    .Set Cabinet=on
    .Set Compress=on
    ;Specify file name for new cab file
    .Set CabinetNameTemplate=Echo.cab
    ;Specify files to be included in cab file
    ; First Driver
    .Set DestinationDir=DriverPackage1
    C:\DriverFiles\DriverPackage1\Driver1.sys
    C:\DriverFiles\DriverPackage1\Driver1.inf
    ; Second driver
    .Set DestinationDir=DriverPackage2
    C:\DriverFiles\DriverPackage2\Driver2.sys
    C:\DriverFiles\DriverPackage2\Driver2.inf