微軟受信任的根計劃不再支持具有內(nèi)核模式簽名功能的根證書。
具有內(nèi)核模式代碼簽名功能的現(xiàn)有交叉簽名根證書將繼續(xù)工作到到期。因此,所有鏈接回這些根證書的軟件發(fā)布證書、商業(yè)發(fā)布證書和商業(yè)測試證書也在同一時間表上失效。要讓您的驅(qū)動程序簽名,請首先注冊 Windows 硬件開發(fā)中心計劃。
受信任交叉證書的到期時間表是什么?
測試驅(qū)動程序可以選擇哪些交叉簽名證書的替代方案?
我現(xiàn)有的簽名驅(qū)動程序包會發(fā)生什么情況?
是否有方法在不將其暴露給 Microsoft 的情況下運行生產(chǎn)驅(qū)動程序包?
我的驅(qū)動程序包的每個新版本是否需要重新提交到硬件開發(fā)中心?
2021 年后,我們能否繼續(xù)使用現(xiàn)有第三方頒發(fā)的證書簽署非驅(qū)動代碼?
我是否能夠繼續(xù)使用我的EV證書向硬件開發(fā)中心簽署提交材料?
如何知道我的簽名證書是否會受到這些到期的影響?
如何使 Microsoft 測試簽名自動化以處理構(gòu)建過程?
從 2021 年開始,微軟將成為生產(chǎn)內(nèi)核模式代碼簽名的唯一提供商嗎?
硬件開發(fā)中心不提供Windows XP的驅(qū)動程序簽名,如何讓我的驅(qū)動程序在XP中運行?
生產(chǎn)簽名選項如何因 Windows 版本而異?
如果我的證書鏈接到 2021 年后到期的交叉證書, 我是否能夠繼續(xù)簽署驅(qū)動程序?
根據(jù)以下時間表,大多數(shù)交叉簽名根證書將于 2021 年到期:
Common Name Expiration date
VeriSign Class 3 Public Primary Certification Authority - G5 | 2/22/2021 |
thawte Primary Root CA | 2/22/2021 |
GeoTrust Primary Certification Authority | 2/22/2021 |
GeoTrust Primary Certification Authority - G3 | 2/22/2021 |
thawte Primary Root CA - G3 | 2/22/2021 |
VeriSign Universal Root Certification Authority | 2/22/2021 |
TC TrustCenter Class 2 CA II | 4/11/2021 |
COMODO RSA Certification Authority | 4/11/2021 |
UTN-USERFirst-Object | 4/11/2021 |
DigiCert Assured ID Root CA | 4/15/2021 |
DigiCert High Assurance EV Root CA | 4/15/2021 |
DigiCert Global Root CA | 4/15/2021 |
Entrust.net Certification Authority (2048) | 4/15/2021 |
GlobalSign Root CA | 4/15/2021 |
Go Daddy Root Certificate Authority - G2 | 4/15/2021 |
Starfield Root Certificate Authority - G2 | 4/15/2021 |
NetLock Arany (Class Gold) Fotanúsítvány | 4/15/2021 |
NetLock Arany (Class Gold) Fotanúsítvány | 4/15/2021 |
NetLock Platina (Class Platinum) Fotanúsítvány | 4/15/2021 |
Security Communication RootCA1 | 4/15/2021 |
StartCom Certification Authority | 4/15/2021 |
Certum Trusted Network CA | 4/15/2021 |
COMODO ECC Certification Authority | 4/11/2021 |
制作過程
WHQL 測試簽名計劃
企業(yè) CA 流程
只要驅(qū)動包在簽名證書到期日期之前蓋章,他們將繼續(xù)工作。
否,所有生產(chǎn)驅(qū)動程序包必須提交給微軟并由 Microsoft 簽名。
是的,每次重建生產(chǎn)級別的驅(qū)動程序包時,它都必須由 Microsoft 簽名。
是的,這些證書將繼續(xù)工作,直到它們過期。使用這些證書簽名的代碼只能在用戶模式下運行,并且不允許在內(nèi)核中運行,除非它有有效的 Microsoft 簽名。
是的,EV 證書將繼續(xù)工作,直到過期。如果您在簽發(fā) EV 證書的交叉證書到期后用 EV 證書簽署內(nèi)核模式驅(qū)動程序,則由此產(chǎn)生的驅(qū)動程序?qū)⒉粫虞d、運行或安裝。
如果您的交叉證書鏈以結(jié)尾,則您的簽名證書將受到影響。Microsoft Code Verification Root
要查看交叉證書鏈,運行。例如:signtool verify /v /kp <mydriver.sys>
是的。
驅(qū)動仍可使用第三方簽發(fā)的代碼簽名證書進行簽名。但是,必須將簽署驅(qū)動程序的證書導(dǎo)入目標(biāo)計算機上的證書商店。有關(guān)更多信息,請參閱受信任的發(fā)布者證書商店。Local Computer Trusted Publishers
Driver runs on | Drivers signed before July 1 2021 by | Driver signed on or after July 1 2021 by |
Windows Server 2008 and later, Windows 7, Windows 8 | WHQL or cross-signed drivers | WHQL or drivers cross-signed before July 1 2021 |
Windows 10 | WHQL or attested | WHQL or attested |
否,內(nèi)核模式驅(qū)動程序必須在 2021 年 7 月 1 日之后使用 WHQL 簽名簽名。您不能使用鏈條到 2021 年 7 月 1 日之后到期的交叉證書來簽署內(nèi)核模式驅(qū)動程序。在此日期之后使用這些證書簽署內(nèi)核模式驅(qū)動程序違反了微軟受信任根計劃 (TRP) 策略。違反 Microsoft TRP 策略的證書將被 CA 撤銷。內(nèi)核模式驅(qū)動程序上可能存在其他證書,但 Windows 為了驗證驅(qū)動程序而忽略這些簽名。
轉(zhuǎn)載之微軟官方網(wǎng)站: