内核驱动交叉证书过期后的替代方案
发布日期:2021-09-17几乎所有可以用于给内核驱动签名的第三方代码签名证书的交叉证书都将在 2021年4月到期。
交叉签名证书到期后的替代方法如下:
· MakeCert 过程
· WHQL测试签名程序(沃通CA提供该项服务,见:https://www.wosign.com/Products/WHQL.html
· 企业 CA流程
要使用这些选项,必须启用 TESTSIGNING。
现有的已签名驱动程序包将如何处理?
只要在交叉根证书的有效日期之前给驱动程序包加了时间戳,它们就可以继续工作。
有没有一种方法可以运行生产驱动程序软件包而不暴露给 Microsoft?
否,所有生产驱动程序软件包都必须提交给 Microsoft,并由 Microsoft 签名。
我的驱动程序软件包的每个新生产版本是否都需要由Microsoft签名?
是的,每次重建生产级驱动程序包时,都必须由Microsoft签名。
2021 年后,我们是否仍可以使用我们现有的第三方颁发的证书来签署程序代码?
是的,这些证书将继续有效,直到它们过期。使用这些证书签名的代码只能在普通用户模式下运行,除非具有有效的Microsoft签名,否则将不允许在内核中运行。
我能否继续使用我的 EV证书来签署对 Hardware Dev Center的提交?
是的,您可以使用有效的EV证书对Hardware Dev Center的提交包进行签名,但是由EV证书签名的驱动程序包在证书的到期日期之后不再有效。
我怎么知道我的签名证书是否会受到这些证书的过期影响?
如果“交叉证书链”的结尾为 MicrosoftCode Verification Root,则签名证书将受到影响。
要查看交叉证书链,请运行 signtool verify /v /kp
我们如何使 Microsoft 测试签名自动化以与我们的构建过程一起使用?
您的构建过程可以调用 Hardware Dev CenterAPI。
有关显示用法的示例,请参见 Surface Dev Center Manager 存储库。
从2021年开始,微软将成为生产内核模式代码签名的提供商吗?
是。
硬件开发可信不提供Windows XP的驱动程序签名,如何在XP中运行我的驱动程序?
仍然可以使用第三方签发的代码签名证书对驱动程序进行签名。但是,必须将对驱动程序进行签名的证书导入到Local ComputerTrusted Publishers目标计算机上的证书存储中。有关更多信息,请参见受信任的发行者证书存储。(内容摘自微软)