ドライバー パッケージのカタログ ファイルのリリース署名

ドライバー パッケージのカタログ ファイルが作成または更新されると、カタログ ファイルは SignTool を使用して署名できます。 一度署名されると、カタログ ファイル内に格納されているデジタル署名は、ドライバー パッケージのコンポーネントが変更されると、無効になります。

カタログ ファイルにデジタル署名する場合、SignTool はカタログ ファイル内にデジタル署名を保存します。 ドライバー パッケージのコンポーネントは、SignTool によって変更されません。 ただし、カタログ ファイルにはドライバー パッケージのコンポーネントのハッシュ値が含まれるため、カタログ ファイル内のデジタル署名は、コンポーネントのハッシュ値が同じである限り、維持されます。

SignTool では、デジタル署名にタイム スタンプを追加することもできます。 タイム スタンプを使用すると、署名がいつ作成されたかを判断し、必要に応じて、より柔軟な証明書失効オプションをサポートできます。

次のコマンド ラインは、SignTool を実行して次の操作を行う方法を示しています。

• ToastPkg サンプル ドライバー パッケージの tstamd64.cat カタログ ファイルをリリース署名します。 このカタログ ファイルの作成方法の詳細については、「ドライバー パッケージ のリリース署名用のカタログ ファイルの作成」を参照してください。

• 商用証明機関 (CA) によって発行されたソフトウェア発行元証明書 (SPC) を使用します。

• SPC に互換性のあるクロス証明書を使用します。

• タイム スタンプ機関 (TSA) を使用して、デジタル署名にタイム スタンプを割り当てます。

tstamd64.cat カタログファイルにリリース署名をするには、以下のコマンドラインを実行します。

Signtool sign /v /fd sha256 /ac MSCV-VSClass3.cer /s MyPersonalStore /n contoso.com /t http://timestamp.digicert.com tstamd64.cat

ここで:

• 署名コマンドは、指定されたカタログ ファイル (tstamd64.cat) に署名するように SignTool を設定します。

• /v オプションは、SignTool が正常な実行と警告メッセージを表示する詳細な操作を有効にします。

• /fd オプションは、ファイル署名を作成するために使用するファイル ダイジェスト アルゴリズムを指定します。 既定値は SHA1 です。

• /ac オプションは、CA から取得したクロス証明書 (MSCV-VSClass3.cer) を含むファイルの名前を指定します。 クロス証明書が現在のディレクトリにない場合は、完全なパス名を使用します。

• /s オプションは、SPC を含む個人用証明書ストア (MyPersonalStore) の名前を指定します。

• /n オプションは、指定した証明書ストアにインストールされている SPC (Contoso.com) の名前を指定します。

• /t オプションは 、 デジタル署名のタイムスタンプを設定する TSA (http://timestamp.digicert.com) の URL を指定します。

重要

タイム スタンプを含めると、署名者のコード署名秘密キーが侵害された場合に備え、キーの失効に必要な情報が提供されます。

• tstamd64.cat は、デジタル署名されるカタログ ファイルの名前を指定します。

SignTool とそのコマンド ライン引数の詳細については、「SignTool」を参照してください。

リリース署名ドライバー パッケージの詳細については、「リリース署名ドライバー パッケージ」を参照してください 。