Verifica dell'Release-Signature
Dopo la firma di un pacchetto driver , è possibile usare lo strumento SignTool per verificare le firme di:
Singoli file all'interno del pacchetto driver.
File binari in modalità kernel, ad esempio driver, firmati incorporato.
Gli esempi in questo argomento usano la versione a 64 bit del file binario di esempio Toastpkg, toaster.sys. All'interno della directory di installazione WDK, questo file si trova nella directory src\general\pane\toastpkg\toastcd\amd64 .
Nell'esempio seguente viene verificata la firma di toaster.sys nel file di catalogo con firma di rilascio tstamd64.cat:
Signtool verify /kp /v /c tstamd64.cat amd64\toaster.sys
Dove:
Il comando verifica configura SignTool per verificare la firma nel file di catalogo specificato (tstamd64.cat).
L'opzione /kp configura SignTool per verificare che i criteri del kernel siano stati soddisfatti.
L'opzione /v configura SignTool per stampare messaggi di esecuzione e avviso.
L'opzione /c specifica il file di catalogo del pacchetto driver rilasciato (tstamd64.cat). Se si verifica la firma digitale di un driver firmato incorporato, non usare questa opzione.
amd64\toaster.sys è il nome del file da verificare.
Nell'output di questo comando etichettato "Firma catena di certificati", è necessario verificare che quanto segue sia true:
La radice della catena di certificati per i criteri kernel viene emessa dalla radice della verifica del codice Microsoft.
Il certificato incrociato, rilasciato all'Autorità di certificazione primaria pubblica di classe 3, viene rilasciato anche dalla radice di verifica del codice Microsoft.
Per un file di catalogo firmato, la firma dei criteri di verifica Authenticode predefinita può essere verificata anche in qualsiasi file binario in modalità kernel all'interno del pacchetto driver. Ciò garantisce che il file venga visualizzato come connesso nella finestra di dialogo di installazione in modalità utente Plug and Play e lo snap-in MMC Gestione dispositivi.
Nota Questo esempio viene usato solo per la verifica dei file di catalogo con firma di rilascio e non dei file binari in modalità kernel firmati incorporato.
Nell'esempio seguente viene verificato il criterio di verifica Authenticode predefinito di toaster.sys nel file di catalogo firmato tstamd64.cat:
Signtool verify /pa /v /c tstamd64.cat amd64\toaster.sys
Dove:
Il comando verifica configura SignTool per verificare la firma nel file specificato.
L'opzione /pa configura SignTool per verificare che i criteri di verifica Authenticode siano stati soddisfatti.
L'opzione /v configura SignTool per stampare messaggi di esecuzione e avviso.
L'opzione /c specifica il file di catalogo del pacchetto driver rilasciato (tstamd64.cat).
amd64\toaster.sys è il nome del file da verificare.
Nell'output di questo comando etichettato "Firma catena di certificati", è necessario verificare che la catena di certificati Authenticode predefinita venga emessa da e da un'autorità di certificazione primaria pubblica di classe 3.
È anche possibile verificare la firma digitale del file di catalogo stesso tramite Esplora risorse seguendo questa procedura:
Fare clic con il pulsante destro del mouse sul file del catalogo e scegliere Proprietà.
Per i file firmati digitalmente, la finestra di dialogo Proprietà del file include una scheda Firma digitale aggiuntiva, in cui viene visualizzata la firma, il timestamp e i dettagli del certificato usato per firmare il file.
Per altre informazioni su come rilasciare i pacchetti driver di firma, vedere Pacchetti driver di firma di rilascio e verifica della firma SPC di un file di catalogo.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per