Test-Signing um arquivo de catálogo de pacote de driver

Depois que o arquivo de catálogo de um pacote de driver for criado ou atualizado, o arquivo de catálogo poderá ser assinado por meio do SignTool. Depois de assinada, a assinatura digital armazenada no arquivo de catálogo será invalidada se algum componente do pacote de driver for modificado.

Ao assinar digitalmente um arquivo de catálogo, o SignTool salva a assinatura digital no arquivo de catálogo. Os componentes do pacote de driver não são alterados pelo SignTool. No entanto, como o arquivo de catálogo contém valores de hash dos componentes do pacote de driver, a assinatura digital dentro do arquivo de catálogo é mantida desde que o hash dos componentes tenha o mesmo valor.

SignTool também pode adicionar um carimbo de data/hora à assinatura digital. O carimbo de data/hora permite determinar quando uma assinatura foi criada e dá suporte a opções de revogação de certificado mais flexíveis, se necessário.

A linha de comando a seguir mostra como executar o SignTool para fazer o seguinte:

• Assine o arquivo de catálogo tstamd64.cat do pacote de driver de exemplo ToastPkg. Para obter mais informações sobre como esse arquivo de catálogo foi criado, consulte Criando um arquivo de catálogo para Test-Signing um pacote de driver.

• Use o certificado Contoso.com(Test) do PrivateCertStore para a assinatura de teste. Para obter mais informações sobre como esse certificado foi criado, consulte Criando certificados de teste.

• Carimbos de data/hora da assinatura digital por meio de uma TSA (autoridade de carimbo de data/hora).

Para testar o sinal do arquivo de catálogo tstamd64.cat , execute a seguinte linha de comando:

Signtool sign /v /fd sha256 /s PrivateCertStore /n Contoso.com(Test) /t http://timestamp.digicert.com tstamd64.cat

Em que:

• O comando sign configura SignTool para assinar o arquivo de catálogo especificado, tstamd64.cat.

• A opção /v habilita operações detalhadas, nas quais o SignTool exibe mensagens de aviso e execução bem-sucedidas.

• A opção /fd especifica o algoritmo de resumo de arquivo a ser usado para criar assinaturas de arquivo. O padrão é SHA1.

• A opção /s especifica o nome do repositório de certificados (PrivateCertStore) que contém o certificado de teste.

• A opção /n especifica o nome do certificado (Contoso.com(Teste)) instalado no repositório de certificados especificado.

• A opção /t especifica a URL da TSA (http://timestamp.digicert.com) que carimbará a assinatura digital.

  Importante

  A inclusão de um carimbo de data/hora fornece as informações necessárias para revogação de chave caso a chave privada de assinatura de código do signatário seja comprometida.

• tstamd64.cat especifica o nome do arquivo de catálogo, que será assinado digitalmente.

Para obter mais informações sobre o SignTool e seus argumentos de linha de comando, consulte SignTool.

Para obter mais informações sobre a assinatura de teste do arquivo de catálogo de um pacote de driver, consulte Test-Signing a Catalog File.