Windows Vista: Signierte Einheitentreiber

Paket bereitstellen

Das Zertifikat kann mit MakeCert erstellt werden, wenn nur ein Zertifikat für den internen Einsatz benötigt wird. Das Zertifikat muss bei den vertrauenswürdigen Stammzertifizierungsstellen eingefügt werden, um es nutzen zu können.

Um einen Einheitentreiber signieren zu können, ist es erforderlich, mit dem Tool Signability auf Basis der .inf-Datei des Treibers einen Katalog zu erstellen, der das Treiberpaket beschreibt und zunächst noch nicht signiert ist. Dieser Schritt entfällt, wenn das Treiberpaket bereits vom Hersteller signiert war und nur eine andere Signatur benötigt wird, weil beispielsweise die Herstellersignatur im internen Netzwerk nicht akzeptiert wird. Erst danach kann eine Signatur mit dem SignTool erstellt werden, die das Paket damit als vertrauenswürdig kennzeichnet.

Die Bereitstellung von Paketen in einem Driver Store erfolgt anschließend mit dem Werkzeug pmputil.exe. Damit kann es zunächst in einen lokalen Driver Store aufgenommen werden.

Um auf einen solchen Driver Store auf einem Server zuzugreifen, muss ein Registry-Parameter modifiziert werden. Es handelt sich um den Parameter DevicePath in

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion

Dieser Pfad enthält alle Laufwerke, in denen sich Treiber befinden können und die automatisch durchsucht werden sollen. Hier können auch UNC-Pfadnamen für den Zugriff auf das Netzwerk angegeben werden.