微软受信任的根计划不再支持具有内核模式签名功能的根证书。
具有内核模式代码签名功能的现有交叉签名根证书将继续工作到到期。因此,所有链接回这些根证书的软件发布证书、商业发布证书和商业测试证书也在同一时间表上失效。要让您的驱动程序签名,请首先注册 Windows 硬件开发中心计划。
受信任交叉证书的到期时间表是什么?
测试驱动程序可以选择哪些交叉签名证书的替代方案?
我现有的签名驱动程序包会发生什么情况?
是否有方法在不将其暴露给 Microsoft 的情况下运行生产驱动程序包?
我的驱动程序包的每个新版本是否需要重新提交到硬件开发中心?
2021 年后,我们能否继续使用现有第三方颁发的证书签署非驱动代码?
我是否能够继续使用我的EV证书向硬件开发中心签署提交材料?
如何知道我的签名证书是否会受到这些到期的影响?
如何使 Microsoft 测试签名自动化以处理构建过程?
从 2021 年开始,微软将成为生产内核模式代码签名的唯一提供商吗?
硬件开发中心不提供Windows XP的驱动程序签名,如何让我的驱动程序在XP中运行?
生产签名选项如何因 Windows 版本而异?
如果我的证书链接到 2021 年后到期的交叉证书, 我是否能够继续签署驱动程序?
根据以下时间表,大多数交叉签名根证书将于 2021 年到期:
Common Name Expiration date
VeriSign Class 3 Public Primary Certification Authority - G5 | 2/22/2021 |
thawte Primary Root CA | 2/22/2021 |
GeoTrust Primary Certification Authority | 2/22/2021 |
GeoTrust Primary Certification Authority - G3 | 2/22/2021 |
thawte Primary Root CA - G3 | 2/22/2021 |
VeriSign Universal Root Certification Authority | 2/22/2021 |
TC TrustCenter Class 2 CA II | 4/11/2021 |
COMODO RSA Certification Authority | 4/11/2021 |
UTN-USERFirst-Object | 4/11/2021 |
DigiCert Assured ID Root CA | 4/15/2021 |
DigiCert High Assurance EV Root CA | 4/15/2021 |
DigiCert Global Root CA | 4/15/2021 |
Entrust.net Certification Authority (2048) | 4/15/2021 |
GlobalSign Root CA | 4/15/2021 |
Go Daddy Root Certificate Authority - G2 | 4/15/2021 |
Starfield Root Certificate Authority - G2 | 4/15/2021 |
NetLock Arany (Class Gold) Fotanúsítvány | 4/15/2021 |
NetLock Arany (Class Gold) Fotanúsítvány | 4/15/2021 |
NetLock Platina (Class Platinum) Fotanúsítvány | 4/15/2021 |
Security Communication RootCA1 | 4/15/2021 |
StartCom Certification Authority | 4/15/2021 |
Certum Trusted Network CA | 4/15/2021 |
COMODO ECC Certification Authority | 4/11/2021 |
制作过程
WHQL 测试签名计划
企业 CA 流程
只要驱动包在签名证书到期日期之前盖章,他们将继续工作。
否,所有生产驱动程序包必须提交给微软并由 Microsoft 签名。
是的,每次重建生产级别的驱动程序包时,它都必须由 Microsoft 签名。
是的,这些证书将继续工作,直到它们过期。使用这些证书签名的代码只能在用户模式下运行,并且不允许在内核中运行,除非它有有效的 Microsoft 签名。
是的,EV 证书将继续工作,直到过期。如果您在签发 EV 证书的交叉证书到期后用 EV 证书签署内核模式驱动程序,则由此产生的驱动程序将不会加载、运行或安装。
如果您的交叉证书链以结尾,则您的签名证书将受到影响。Microsoft Code Verification Root
要查看交叉证书链,运行。例如:signtool verify /v /kp <mydriver.sys>
是的。
驱动仍可使用第三方签发的代码签名证书进行签名。但是,必须将签署驱动程序的证书导入目标计算机上的证书商店。有关更多信息,请参阅受信任的发布者证书商店。Local Computer Trusted Publishers
Driver runs on | Drivers signed before July 1 2021 by | Driver signed on or after July 1 2021 by |
Windows Server 2008 and later, Windows 7, Windows 8 | WHQL or cross-signed drivers | WHQL or drivers cross-signed before July 1 2021 |
Windows 10 | WHQL or attested | WHQL or attested |
否,内核模式驱动程序必须在 2021 年 7 月 1 日之后使用 WHQL 签名签名。您不能使用链条到 2021 年 7 月 1 日之后到期的交叉证书来签署内核模式驱动程序。在此日期之后使用这些证书签署内核模式驱动程序违反了微软受信任根计划 (TRP) 策略。违反 Microsoft TRP 策略的证书将被 CA 撤销。内核模式驱动程序上可能存在其他证书,但 Windows 为了验证驱动程序而忽略这些签名。
转载之微软官方网站: