DigiCert証明書の正規代理店株式会社アールエムエス
DigiCertコードサイニング証明書 サポート
DigiCert サーバー証明書利用団体
  1. ホーム
  2. コードサイニング証明書
  3. サポート
  4. EVコードサイニング証明書 Windowsドライバ署名方法(カーネルモード)

EVコードサイニング証明書 Windowsドライバ署名方法(カーネルモード)

本ページに記載されている手順は環境により異なる場合があり、実際の動作を保証するものではありません。
アプリケーションやツールなどの仕様や設定手順等でご不明な点がある場合は、それらのマニュアルをご確認いただくか、提供元にご連絡ください。
※この手順によって生じた影響や結果について、弊社では一切の責任は負いかねます。

DigiCert EVコードサイニング証明書は、すべてのWindowsデベロッパー センター ハードウェア ダッシュボード サービスで使うことができます。
また、LSAとUEFIのファイル署名サービスでは、EVコードサイニング証明書が必須です。

EVコードサイニング証明書Kernel-Mode署名

以下がEVコードサイニング証明書でKernel-Modeに署名する手順です。

  1. EVコードサイニング証明書トークンの初期設定
  2. Windows signtoolの入手
  3. DigiCert Code Signing Cross-Certificateのダウンロードと保存
  4. Windowsハードウェア認定
  5. EVコードサイニング証明書でドライバーに署名する

EVコードサイニング証明書トークンの初期設定

トークンの設定方法については、トークンの初期設定を参照ください。

Windows signtoolの入手

Windows7の場合
SignToolはWindows SDKに含まれています。
インストールされていない場合はMicrosoft Windows SDK for Windows 7 and .NET Framework 4からダウンロードしインストールしてください。
Windows8の場合
SignToolはWindows SDKに含まれています。
インストールされていない場合はWindows 8 用 Windows ソフトウェア開発キット (Windows SDK) からダウンロードしインストールしてください。
Windows Vistaの場合
署名手順そのものが Windows 7 以降とは異なります。
デジタル署名ウィザードでMicrosoft Authenticodeに署名する方法を参照してください。

DigiCert Code Signing Cross-Certificateのダウンロードと保存

  1. 以下のリンクからクロスルート証明書をダウンロード・展開し、適当なディレクトリに「DigiCert High Assurance EV Root CA.crt」の名称で保存します(以下事例コマンドはコマンド実行ディレクトリに「DigiCert High Assurance EV Root CA.crt」を保存しした想定です)。

Windows ハードウェア認定

MSDNのSigning Drivers for Public Releaseを参照してください。
Windows デベロッパー センター ハードウェア ダッシュボードの利用については、ダッシュボード サービス を参照してください。
Windows ハードウェア認定キット (HCK) 8.1については WHCKを参照してください。

コードサイニング証明書でドライバーに署名する

  1. Windows のコマンドプロンプトで、signtool.exeが置かれているフォルダに移動し、以下のコマンドを 実行してください。
    signtool.exeは、Windows7の場合は C:\Program Files\Microsoft SDKs\Windows\v7.1\Bin等、Windows8の場合は C:\Progrram Files(x86)\Windows Kits\8.0\bin\x86等に置かれています。
    C:\> signtool sign /ac "DigiCert High Assurance EV Root CA.crt" /t http://timestamp.digicert.com /a "c:\path\to\FileToSign.cat"
    /t がタイムスタンプを追加するオプションで、 http://timestamp.digicert.com がタイムスタンプサーバーです。
    /a は Windows証明書ストアに複数の証明書がインストールされている場合、最適な証明書を自動的に選択します。最適な証明書とは「すべての有効な証明書のうち、指定されたすべての条件を満たすものの中で、有効期間が最長の証明書」のことです。
    c:\path\to\FileToSign.cat が署名対象のファイルです。
    signtool signオプションの詳細は、Microsoft MSDNライブラリSignTool.exe(署名ツール)sign コマンドオプションを参照ください。
    デフォルトのハッシュ関数はSHA-1ですが、/fd sha256オプションでハッシュ関数SHA256(SHA-2)を指定できます(古いバージョンのsigntoolでは/fdオプションが無いこともあります。その場合は新しSDKで入手してください)。
  2. 署名が成功すると "Successfully signed and timestamped: c:\path\to\FileToSign.cat" と表示されます。
デジタル証明書ニュース
digicert.comトピックス&ニュース