本文介绍如何验证提交的Microsoft签名。
在某些情况下,可能需要验证提交的Microsoft签名:
不确定驱动程序是否由 Microsoft 签名,并且想要检查。
你有两个驱动程序。 需要确定哪一个证明已签名。 将 Windows Hardware Lab Kit(HLK)或 Windows 硬件认证工具包(HCK)结果提交到仪表板后,其他驱动程序将被签名。
下载签名的驱动程序文件
第一步是下载需要验证Microsoft签名的已签名文件。
注意
驱动程序提交文件夹位于包文件中。 Microsoft对这些文件进行签名。 合作伙伴无需对返回的有效负载进行签名。 Microsoft始终返回具有已批准的提交的 .cat 文件。 如果合作伙伴包含自己的 .cat 文件,Microsoft将其丢弃并返回自己的已签名 .cat 文件。
下载带有数字签名的驱动程序文件:
查找硬件提交,其中包含需要下载已签名文件的驱动程序。
若要打开驱动程序详细信息,请选择 专用产品 ID。
在“驱动程序详细信息”页面的“包和签名属性”下,选择“更多”。
选择“下载签名文件”。
检查增强型密钥使用情况(EKU)
下载已签名文件后,通过检查增强密钥用法(EKU)扩展来验证Microsoft签名。 EKU 属于Microsoft用于对提交进行签名的证书。
要检查 EKU,请执行以下步骤:
右键单击 .cat 文件。
选择“属性”,然后选择“数字签名”选项卡。
选择证书名称,然后选择“详细信息”。
在“详细信息”选项卡上,选择“增强型密钥用法”。 在这里,可以看到证书的 EKU 和相应的对象标识符 (OID) 值。 在这种情况下,Windows 硬件驱动程序验证 OID 以 5 结尾,这意味着驱动程序没有通过认证签名。
EKU 详细信息窗格的屏幕截图,显示未进行认证签名的驱动程序。OID 以 5 结尾
如果驱动程序是证明签名的,则 OID 以 1 结尾。
对已进行认证签名的驱动程序的 EKU 详细信息窗格的屏幕截图。OID 以 1 结尾。