Bagikan melalui

Memverifikasi Release-Signature

  • Artikel

Setelah paket driver ditandatangani rilis, alat SignTool dapat digunakan untuk memverifikasi tanda tangan:

  • File individual dalam paket driver.

  • Biner mode kernel, seperti driver, yang telah ditandatangani tertanam.

Contoh dalam topik ini menggunakan versi 64-bit dari file biner sampel Toastpkg, toaster.sys. Dalam direktori penginstalan WDK, file ini terletak di direktori src\general\toaster\toastpkg\toastcd\amd64 .

Contoh berikut memverifikasi tanda tangan toaster.sys dalam file katalog yang ditandatangani rilis tstamd64.cat:

Signtool verify /kp /v /c tstamd64.cat amd64\toaster.sys

Di mana:

  • Perintah verifikasi mengonfigurasi SignTool untuk memverifikasi tanda tangan dalam file katalog yang ditentukan (tstamd64.cat).

  • Opsi /kp mengonfigurasi SignTool untuk memverifikasi bahwa kebijakan kernel telah terpenuhi.

  • Opsi /v mengonfigurasi SignTool untuk mencetak pesan eksekusi dan peringatan.

  • Opsi /c menentukan file katalog paket driver yang ditandatangani oleh rilis (tstamd64.cat). Jika Anda memverifikasi tanda tangan digital driver yang ditandatangani tersemat, jangan gunakan opsi ini.

  • amd64\toaster.sys adalah nama file yang akan diverifikasi.

Di bawah output dari perintah ini berlabel "Rantai Sertifikat Penandatanganan", Anda harus memverifikasi bahwa hal berikut ini benar:

  • Akar rantai sertifikat untuk kebijakan kernel dikeluarkan untuk dan oleh Akar Verifikasi Kode Microsoft.

  • Sertifikat silang, yang dikeluarkan untuk Otoritas Sertifikasi Primer Publik Kelas 3, juga dikeluarkan oleh Akar Verifikasi Kode Microsoft.

Untuk file katalog yang ditandatangani, tanda tangan kebijakan verifikasi Default Authenticode juga dapat diverifikasi pada file biner mode kernel dalam paket driver. Ini memastikan bahwa file muncul sebagai masuk dalam mode pengguna Plug and Play kotak dialog penginstalan dan snap-in Manajer Perangkat MMC.

Catatan Contoh ini hanya digunakan untuk verifikasi file katalog yang ditandatangani rilis dan bukan file biner mode kernel yang ditandatangani tertandatangani.

Contoh berikut memverifikasi kebijakan verifikasi Authenticode Default toaster.sys dalam file katalog yang ditandatangani tstamd64.cat :

Signtool verify /pa /v /c tstamd64.cat amd64\toaster.sys

Di mana:

  • Perintah verifikasi mengonfigurasi SignTool untuk memverifikasi tanda tangan dalam file yang ditentukan.

  • Opsi /pa mengonfigurasi SignTool untuk memverifikasi bahwa kebijakan verifikasi Authenticode telah terpenuhi.

  • Opsi /v mengonfigurasi SignTool untuk mencetak pesan eksekusi dan peringatan.

  • Opsi /c menentukan file katalog paket driver yang ditandatangani oleh rilis (tstamd64.cat).

  • amd64\toaster.sys adalah nama file yang akan diverifikasi.

Di bawah output dari perintah ini berlabel "Rantai Sertifikat Penandatanganan", Anda harus memverifikasi bahwa rantai sertifikat Authenticode default dikeluarkan untuk dan oleh Otoritas Sertifikasi Primer Publik Kelas 3.

Anda juga dapat memverifikasi tanda tangan digital file katalog itu sendiri melalui Windows Explorer dengan mengikuti langkah-langkah berikut:

  • Klik kanan file katalog dan pilih Properti.

  • Untuk file yang ditandatangani secara digital, kotak dialog Properti file memiliki tab Tanda Tangan Digital tambahan, di mana tanda tangan, stempel waktu, dan detail sertifikat yang digunakan untuk menandatangani file muncul.

Untuk informasi selengkapnya tentang cara menandatangani paket driver, lihat Paket Driver Penandatanganan Rilis dan Memverifikasi Tanda Tangan SPC dari File Katalog.