ドライバー パッケージのカタログ ファイルを作成または更新した後は、SignTool を使用してカタログ ファイルに署名できます。 署名されると、ドライバー パッケージのコンポーネントが変更されると、カタログ ファイル内に格納されているデジタル署名は無効になります。
カタログ ファイルにデジタル署名する場合、SignTool はカタログ ファイル内にデジタル署名を保存します。 ドライバー パッケージのコンポーネントは、SignTool によって変更されません。 ただし、カタログ ファイルにはドライバー パッケージのコンポーネントのハッシュ値が含まれるため、カタログ ファイル内のデジタル署名は、コンポーネントが同じ値にハッシュされている限り維持されます。
SignTool では、デジタル署名にタイム スタンプを追加することもできます。 タイム スタンプを使用すると、署名がいつ作成されたかを判断でき、必要に応じて、より柔軟な証明書失効オプションがサポートされます。
次のコマンド ラインは、SignTool を実行して次の操作を行う方法を示しています。
ToastPkg サンプル ドライバー パッケージの tstamd64.cat カタログ ファイルにテスト署名します。 この カタログ ファイル の作成方法の詳細については、「 ドライバー パッケージを Test-Signing するためのカタログ ファイルの作成」を参照してください。
テスト署名には、PrivateCertStore の Contoso.com(Test) 証明書を使用します。 この証明書の作成方法の詳細については、「 テスト証明書の作成」を参照してください。
タイム スタンプ機関 (TSA) を介してデジタル署名にタイムスタンプを付けます。
tstamd64.cat カタログ ファイルにテスト署名するには、次のコマンド ラインを実行します。
Signtool sign /v /fd sha256 /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.digicert.com tstamd64.cat
どこ:
sign コマンドは、指定されたカタログ ファイル (tstamd64.cat) に署名するように SignTool を構成します。
/v オプションは、詳細な操作を有効にし、SignTool が正常な実行と警告メッセージを表示します。
/fd オプションは、ファイル署名の作成に使用するファイル ダイジェスト アルゴリズムを指定します。 既定値は SHA1 です。
/s オプションは、テスト証明書を含む証明書ストア (PrivateCertStore) の名前を指定します。
/n オプションは、指定した証明書ストアにインストールされている証明書 (Contoso.com(Test)) の名前を指定します。
/t オプションは、デジタル署名にタイム スタンプを設定する TSA (
http://timestamp.digicert.com) の URL を指定します。重要
タイム スタンプを含めると、署名者のコード署名秘密キーが侵害された場合に備え、キーの失効に必要な情報が提供されます。
tstamd64.cat は、デジタル署名されるカタログ ファイルの名前を指定します。
SignTool とそのコマンド ライン引数の詳細については、「 SignTool」を参照してください。
ドライバー パッケージのカタログ ファイルのテスト署名の詳細については、「カタログ ファイル のTest-Signing」を参照してください。