Test-Signing Biner Driver melalui Tanda Tangan Tersemat
File katalog yang ditandatangani adalah semua yang Harus Anda instal dan muat sebagian besar paket driver dengan benar. Namun, penandatanganan tersemat beberapa biner dalam paket driver mungkin juga diperlukan untuk beberapa skenario. Penandatanganan tersemat mengacu pada penambahan tanda tangan digital ke file gambar biner driver itu sendiri, alih-alih mengandalkan tanda tangan digital dalam file katalog. Akibatnya, gambar biner driver dimodifikasi ketika driver ditandatangani.
Penandatanganan tersemat biner mode kernel diperlukan setiap kali driver adalah driver boot-start. Dalam Windows Vista versi 64-bit dan versi Windows yang lebih baru, persyaratan penandatanganan kode mode kernel menyatakan bahwa driver boot-start harus memiliki tanda tangan yang disematkan. Perhatikan bahwa ini adalah selain file katalog paket driver yang perlu memenuhi Persyaratan Penandatanganan Penginstalan Perangkat PnP.
Seperti halnya file katalog, SignTool digunakan untuk menyematkan tanda tangan digital dalam file biner mode kernel dengan menggunakan sertifikat pengujian. Baris perintah berikut ini memperlihatkan cara menjalankan SignTool untuk melakukan hal berikut:
Uji tanda tangani versi 64-bit dari file biner sampel Toastpkg, toaster.sys. Dalam direktori penginstalan WDK, file ini terletak di direktori src\general\toaster\toastpkg\toastcd\amd64 .
Gunakan sertifikat Contoso.com(Test) dari PrivateCertStore untuk tanda tangan pengujian. Untuk informasi selengkapnya tentang cara sertifikat ini dibuat, lihat Membuat Sertifikat Pengujian.
Stempel waktu tanda tangan digital melalui otoritas stempel waktu (TSA).
Untuk menguji tanda tangan file toaster.sys , jalankan baris perintah berikut:
Signtool sign /v /fd sha256 /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.digicert.com amd64\toaster.sys
Di mana:
Perintah tanda mengonfigurasi SignTool untuk menandatangani file katalog yang ditentukan, tstamd64.cat.
Opsi /v memungkinkan operasi verbose, di mana SignTool menampilkan pesan peringatan dan eksekusi yang berhasil.
Opsi /fd menentukan algoritma hash file yang digunakan untuk membuat tanda tangan file. Defaultnya adalah SHA1.
Opsi /s menentukan nama penyimpanan sertifikat (PrivateCertStore) yang berisi sertifikat pengujian.
Opsi /n menentukan nama sertifikat (Contoso.com(Test)) yang diinstal di penyimpanan sertifikat yang ditentukan.
Opsi /t menentukan URL TSA (
http://timestamp.digicert.com) yang akan memberi stempel waktu tanda tangan digital.
Penting
Menyertakan stempel waktu memberikan informasi yang diperlukan untuk pencabutan kunci jika kunci privat penandatangan kode penanda tangan disusupi.
- amd64\toaster.sys menentukan nama file biner mode-kernel yang akan ditandatangani-disematkan.
Untuk informasi selengkapnya tentang SignTool dan argumen baris perintahnya, lihat SignTool.
Untuk informasi selengkapnya tentang cara menguji tanda tangan driver dengan menggunakan tanda tangan yang disematkan, lihat Menguji Penandatanganan File Driver.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk