Windowsドライバ署名方法（カーネルモード）※OV版は新規発行を終了いたしました

Kernel-Mode証明書のインストールと利用方法ガイド

コードサイニング証明書では、以下の手順で署名を行います。

1. コードサイニング証明書のインストール
2. Windows signtoolの入手
3. クロスルート証明書のダウンロードと設置
4. Windowsハードウェア認定
5. コードサイニング証明書でドライバーに署名する

コードサイニング証明書のインストール

コードサイニング証明書は、メールにてダウンロードURLをお送りする形で納品します。
メール内のリンクからコードサイニング証明書をダウンロードしてください。
ダウンロードした証明書をエクスポート/インポートする方法については、以下ページを参照してください。

Windows signtoolの入手

クロスルート証明書のダウンロードと設置

以下のリンクからクロスルート証明書をダウンロード・展開し、適当なディレクトリに「DigiCert High Assurance EV Root CA.crt」の名称で保存してください。

Windows ハードウェア認定

MicrosoftのMicrosoft Kernel-Mode Code Signing を参照してください。

コードサイニング証明書でドライバーに署名する

1. Windows のコマンドプロンプトで、signtool.exeが置かれているフォルダに移動し、以下のコマンドを 実行してください。

   C:\Program Files (x86)\Windows Kits\10\bin\x86> signtool sign /ac "DigiCert High Assurance EV Root CA.crt" /t http://timestamp.digicert.com /a "c:\path\to\FileToSign.cat"

   ※/ac がクロスルート証明書を指定するオプションで、 「DigiCert High Assurance EV Root CA.crt」 がクロスルート証明書です。
   ※/t がタイムスタンプを追加するオプションで、 http://timestamp.digicert.com がタイムスタンプサーバーです。
   ※/a は Windows証明書ストアに複数の証明書がインストールされている場合、最適な証明書を自動的に選択します。最適な証明書とは「すべての有効な証明書のうち、指定されたすべての条件を満たすものの中で、有効期間が最長の証明書」のことです。
   
   ※c:\path\to\FileToSign.cat が署名対象のファイルです。
   ※「DigiCert High Assurance EV Root CA.crt」（クロスルート証明書）がコマンド実行ディレクトリに保存されている例です。他のディレクトリの場合はフルパスで指定してください。

   signtool signオプションの詳細は、Microsoft MSDNライブラリSignTool.exe（署名ツール）sign コマンドオプションを参照してください。

   デフォルトのハッシュ関数はSHA-1ですが、/fd sha256 オプションでハッシュ関数SHA256（SHA-2）を指定できます（古いバージョンのsigntoolでは/fdオプションが無いこともあります。その場合は新しSDKで入手してください）。

   ※signtool.exeは一般には以下の場所に置かれています。

   Windows7の場合

   C:\Program Files\Microsoft SDKs\Windows\v7.1\Bin

   Windows8の場合

   C:\Progrram Files(x86)\Windows Kits\8.0\bin\x86

   Windows10の場合は

   C:\Program Files (x86)\Windows Kits\10\bin\x86

2. 署名が成功すると “Successfully signed and timestamped: c:\path\to\FileToSign.cat” と表示されます。