포함된 서명을 통해 드라이버 이진 파일 Test-Signing

서명된 카탈로그 파일 은 대부분의 드라이버 패키지를 올바르게 설치하고 로드해야 하는 모든 파일입니다. 그러나 일부 시나리오에서는 드라이버 패키지에 있는 일부 이진 파일의 임베디드 서명이 필요할 수도 있습니다. 임베디드 서명은 카탈로그 파일의 디지털 서명에 의존하는 대신 드라이버의 이진 이미지 파일 자체에 디지털 서명을 추가하는 것을 의미합니다. 결과적으로 드라이버가 포함 서명되면 드라이버의 이진 이미지가 수정됩니다.

드라이버가 부팅 시작 드라이버일 때마다 커널 모드 이진 파일의 임베디드 서명이 필요합니다. 64비트 버전의 Windows Vista 이상 Windows에서는 커널 모드 코드 서명 요구 사항에 따라 부팅 시작 드라이버 에 포함된 서명이 있어야 합니다. 이는 PnP 디바이스 설치 서명 요구 사항을 충족해야 하는 드라이버 패키지의 카탈로그 파일 외에 있습니다.

카탈로그 파일과 마찬가지로 SignTool은 테스트 인증서를 사용하여 커널 모드 이진 파일 내에 디지털 서명을 포함하는 데 사용됩니다. 다음 명령줄에서는 SignTool을 실행하여 다음을 수행하는 방법을 보여줍니다.

• Toastpkg 샘플의 이진 파일인 toaster.sys 64비트 버전에 테스트 서명합니다. WDK 설치 디렉터리 내에서 이 파일은 src\general\toaster\toastpkg\toastcd\amd64 디렉터리에 있습니다.

• 테스트 서명에 PrivateCertStore의 Contoso.com(테스트) 인증서를 사용합니다. 이 인증서를 만든 방법에 대한 자세한 내용은 테스트 인증서 만들기를 참조하세요.

• TSA(타임스탬핑 기관)를 통해 디지털 서명을 타임스탬핑합니다.

toaster.sys 파일에 테스트 서명하려면 다음 명령줄을 실행합니다.

Signtool sign /v /fd sha256 /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.digicert.com amd64\toaster.sys

위치:

• sign 명령은 지정한 카탈로그 파일에 서명하도록 SignTool을 구성하며, tstamd64.cat.

• /v 옵션을 사용하면 SignTool에서 성공적인 실행 및 경고 메시지를 표시하는 자세한 정보 표시 작업을 사용할 수 있습니다.

• /fd 옵션은 파일 서명을 만드는 데 사용할 파일 다이제스트 알고리즘을 지정합니다. 기본값은 SHA1입니다.

• /s 옵션은 테스트 인증서를 포함하는 인증서 저장소(PrivateCertStore)의 이름을 지정합니다.

• /n 옵션은 지정된 인증서 저장소에 설치된 인증서(Contoso.com(테스트))의 이름을 지정합니다.

• /t 옵션은 디지털 서명을 타임스탬프를 지정하는 TSA(http://timestamp.digicert.com)의 URL을 지정합니다.

중요

타임스탬프를 포함하면 서명자의 코드 서명 프라이빗 키가 손상된 경우 키 해지에 필요한 정보를 제공합니다.

• amd64\toaster.sys 포함 서명될 커널 모드 이진 파일의 이름을 지정합니다.

SignTool 및 해당 명령줄 인수에 대한 자세한 내용은 SignTool을 참조하세요.

포함된 서명을 사용하여 드라이버에 테스트 서명하는 방법에 대한 자세한 내용은 드라이버 파일 테스트 서명을 참조하세요.