Windows Vista: Signierte Einheitentreiber

Treiber selbst signieren

Solange man nur mit Komponenten arbeitet, die bereits über einen signierten Treiber verfügen, ist der Umgang mit den Einheitentreiber unproblematisch. Wenn aber ein Treiber verwendet werden muss, der nicht signiert ist, muss man diesen – solange man ihn freigeben möchte – selbst signieren.

Außerdem muss man als Administrator in der Lage sein, ausgewählte Treiber im Driver Store bereitzustellen und die Clients so zu konfigurieren, dass sie auf diesen speziellen Speicherbereich zugreifen können.

Wenn ein Treiber in einem solchen Speicher vorhanden ist, wird er automatisch von den Plug- and- Play-Funktionen bei der Erkennung eines neuen Geräts erkannt und installiert. Das geschieht im Kontext des Benutzers und ohne weitere Eingriffe.

Um Treiber selbst signieren zu können, ist das Windows Driver Kit (WDK) zu installieren. Es enthält die Werkzeuge, die man für die digitale Signatur von Treibern benötigt. Konkret handelt es sich um drei Tools:

• Makecert für die Erstellung von Zertifikaten.

• Signability für die Erstellung eines nicht signierten Katalogs für ein Treiberpaket.

• SignTool für die eigentliche Signatur der Treiber.

Um die Signatur durchführen zu können, benötigt man ein entsprechendes digitales Zertifikat, dessen Verwendungszweck auch die Signatur von Code umfasst. Ein solches Zertifikat kann intern über eine CA erstellt werden, wenn die Treiber nur intern genutzt werden sollen. Ansonsten ist ein Zertifikat einer externen CA erforderlich, der vertraut wird.