微软软件发布证书、商业发布证书和商业测试证书的弃用

发布时间:2021-05-20 16:45:41

微软受信任的根计划不再支持具有内核模式签名功能的根证书。

具有内核模式代码签名功能的现有交叉签名根证书将继续工作到到期。因此,所有链接回这些根证书的软件发布证书、商业发布证书和商业测试证书也在同一时间表上失效。要让您的驱动程序签名,请首先注册 Windows 硬件开发中心计划。

经常问的问题

受信任交叉证书的到期时间表是什么?

测试驱动程序可以选择哪些交叉签名证书的替代方案?

我现有的签名驱动程序包会发生什么情况?

是否有方法在不将其暴露给 Microsoft 的情况下运行生产驱动程序包?

我的驱动程序包的每个新版本是否需要重新提交到硬件开发中心?

2021 年后,我们能否继续使用现有第三方颁发的证书签署非驱动代码?

我是否能够继续使用我的EV证书向硬件开发中心签署提交材料?

如何知道我的签名证书是否会受到这些到期的影响?

如何使 Microsoft 测试签名自动化以处理构建过程?

 2021 年开始,微软将成为生产内核模式代码签名的唯一提供商吗?

硬件开发中心不提供Windows XP的驱动程序签名,如何让我的驱动程序在XP中运行?

生产签名选项如何因 Windows 版本而异?

如果我的证书链接到 2021 年后到期的交叉证书, 我是否能够继续签署驱动程序?


受信任交叉证书的到期时间表是什么?

根据以下时间表,大多数交叉签名根证书将于 2021 年到期:

Common Name Expiration date

VeriSign Class 3 Public Primary Certification Authority - G5   2/22/2021
thawte Primary Root CA 2/22/2021
GeoTrust Primary Certification Authority2/22/2021
GeoTrust Primary Certification Authority - G32/22/2021
thawte Primary Root CA - G32/22/2021
VeriSign Universal Root Certification Authority2/22/2021
TC TrustCenter Class 2 CA II 4/11/2021
COMODO RSA Certification Authority4/11/2021
UTN-USERFirst-Object4/11/2021
DigiCert Assured ID Root CA

4/15/2021

DigiCert High Assurance EV Root CA 

4/15/2021
DigiCert Global Root CA 4/15/2021
Entrust.net Certification Authority (2048) 4/15/2021
GlobalSign Root CA4/15/2021
Go Daddy Root Certificate Authority - G2

 4/15/2021

Starfield Root Certificate Authority - G24/15/2021
NetLock Arany (Class Gold) Fotanúsítvány 4/15/2021
NetLock Arany (Class Gold) Fotanúsítvány 4/15/2021
NetLock Platina (Class Platinum) Fotanúsítvány4/15/2021
Security Communication RootCA14/15/2021
StartCom Certification Authority   4/15/2021
Certum Trusted Network CA 4/15/2021
COMODO ECC Certification Authority 4/11/2021

 测试驱动程序可以使用哪些替代交叉签名证书的替代方案?

  1. 制作过程

  2. WHQL 测试签名计划

  3. 企业 CA 流程

我现有的签名驱动程序包会发生什么情况?

只要驱动包在签名证书到期日期之前盖章,他们将继续工作。

是否有方法在不将其暴露给 Microsoft 的情况下运行生产驱动程序包?

否,所有生产驱动程序包必须提交给微软并由 Microsoft 签名。

驱动程序包的每个新生产版本是否需要由 Microsoft 签名?

是的,每次重建生产级别的驱动程序包时,它都必须由 Microsoft 签名。

2021 年后,我们能否继续使用现有第三方颁发的证书签署非驱动代码?

是的,这些证书将继续工作,直到它们过期。使用这些证书签名的代码只能在用户模式下运行,并且不允许在内核中运行,除非它有有效的 Microsoft 签名。

我是否能够继续使用我的EV证书向硬件开发中心签署提交材料?

是的,EV 证书将继续工作,直到过期。如果您在签发 EV 证书的交叉证书到期后用 EV 证书签署内核模式驱动程序,则由此产生的驱动程序将不会加载、运行或安装。

如何知道我的签名证书是否会受到这些到期的影响?

如果您的交叉证书链以结尾,则您的签名证书将受到影响。Microsoft Code Verification Root

要查看交叉证书链,运行。例如:signtool verify /v /kp <mydriver.sys>

signtoolcrosssigexample.png     

从 2021 年开始,微软将成为生产内核模式代码签名的唯一提供商吗?

是的。

硬件开发中心不提供Windows XP的驱动程序签名,如何让我的驱动程序在XP中运行?

驱动仍可使用第三方签发的代码签名证书进行签名。但是,必须将签署驱动程序的证书导入目标计算机上的证书商店。有关更多信息,请参阅受信任的发布者证书商店。Local Computer Trusted Publishers

生产签名选项如何因 Windows 版本而异?

Driver runs onDrivers signed before July 1 2021 byDriver signed on or after July 1 2021 by
Windows Server 2008 and later, Windows 7, Windows 8WHQL or cross-signed driversWHQL or drivers cross-signed before July 1 2021
Windows 10WHQL or attestedWHQL or attested


我能否继续为驱动签名,并签署一份证书,该证书将链条锁在 2021 年 7 月 1 日之后到期的交叉证书上?

否,内核模式驱动程序必须在 2021 年 7 月 1 日之后使用 WHQL 签名签名。您不能使用链条到 2021 年 7 月 1 日之后到期的交叉证书来签署内核模式驱动程序。在此日期之后使用这些证书签署内核模式驱动程序违反了微软受信任根计划 (TRP) 策略。违反 Microsoft TRP 策略的证书将被 CA 撤销。内核模式驱动程序上可能存在其他证书,但 Windows 为了验证驱动程序而忽略这些签名。



转载之微软官方网站:

Deprecation of Software Publisher Certificates, Commercial Release Certificates, and Commercial Test Certificates - Windows drivers | Microsoft Docs