EVコードサイニング証明書 Windowsドライバ署名方法(カーネルモード)
本ページに記載されている手順は環境により異なる場合があり、実際の動作を保証するものではありません。
アプリケーションやツールなどの仕様や設定手順等でご不明な点がある場合は、それらのマニュアルをご確認いただくか、提供元にご連絡ください。
※この手順によって生じた影響や結果について、弊社では一切の責任は負いかねます。
また、業界規定の変更によりOVコードサイニング証明書のPFX形式のファイルでの発行は終了いたしました。
EV版同様に、DigiCertハードウェアトークン(USBトークン)またはHSM(ハードウェアセキュリティモジュール)をご利用いただく必要がございます。
DigiCert EVコードサイニング証明書は、すべてのWindowsデベロッパー センター ハードウェア ダッシュボード サービスで使うことができます。
また、LSAとUEFIのファイル署名サービスでは、EVコードサイニング証明書が必須です。
EVコードサイニング証明書Kernel-Mode署名
以下がEVコードサイニング証明書でKernel-Modeに署名する手順です。
-
EVコードサイニング証明書トークンの初期設定
-
Windows signtoolの入手
-
DigiCert Code Signing Cross-Certificateのダウンロードと保存
-
Windowsハードウェア認定
-
EVコードサイニング証明書でドライバーに署名する
トークンの設定方法については、トークンの初期設定を参照ください。
-
以下のリンクからクロスルート証明書をダウンロード・展開し、適当なディレクトリに「DigiCert High Assurance EV Root CA.crt」の名称で保存します(以下事例コマンドはコマンド実行ディレクトリに「DigiCert High Assurance EV Root CA.crt」を保存しした想定です)。
Windows デベロッパー センター ハードウェア ダッシュボードの利用については、
ダッシュボード サービス を参照してください。
Windows ハードウェア認定キット (HCK) 8.1については
WHCKを参照してください。
-
Windows のコマンドプロンプトで、signtool.exeが置かれているフォルダに移動し、以下のコマンドを 実行してください。
signtool.exeは、Windows7の場合は C:\Program Files\Microsoft SDKs\Windows\v7.1\Bin等、Windows8の場合は C:\Progrram Files(x86)\Windows Kits\8.0\bin\x86等に置かれています。
C:\> signtool sign /ac "DigiCert High Assurance EV Root CA.crt" /t http://timestamp.digicert.com /a "c:\path\to\FileToSign.cat"
※/t がタイムスタンプを追加するオプションで、 http://timestamp.digicert.com がタイムスタンプサーバーです。
※/a は Windows証明書ストアに複数の証明書がインストールされている場合、最適な証明書を自動的に選択します。最適な証明書とは
「すべての有効な証明書のうち、指定されたすべての条件を満たすものの中で、有効期間が最長の証明書」のことです。
※c:\path\to\FileToSign.cat が署名対象のファイルです。
デフォルトのハッシュ関数はSHA-1ですが、/fd sha256オプションでハッシュ関数SHA256(SHA-2)を指定できます(古いバージョンのsigntoolでは/fdオプションが無いこともあります。その場合は新しSDKで入手してください)。
-
署名が成功すると “Successfully signed and timestamped: c:\path\to\FileToSign.cat” と表示されます。