背 景
Windows 驱动程序承载着计算机实现的各种内核和用户模式功能。如果驱动程序被黑客攻击,可能会产生很多问题。Windows通过数字签名来验证驱动程序包的完整性并验证驱动程序包发布者的身份。为确保驱动程序的安全性,微软不断提升对驱动程序签名的要求。从 Windows 10版本1607 开始,微软强制要求新发布的内核模式驱动程序,必须获得硬件开发中心门户的数字签名,才能在Windows系统中运行;2021年4月宣布不再支持微软交叉签名的第三方EV代码签名证书为驱动程序进行内核数字签名,取而代之的是需要对驱动程序做WHQL认证,获得微软官方的数字签名才可以正常工作。
为符合微软要求并高效完成驱动程序发布,“EV代码签名证书 + WHQL认证服务”成为驱动程序发布必不可少的产品和服务。
EV代码签名证书可以为windows驱动程序进行数字签名,Windows 设备安装需要通过数字签名来验证驱动程序包的完整性并验证提供驱动程序包的软件发布者的标识,包含验证企业的基本信息、税务信息等,验证企业身份,可用于签名Windows 10内核驱动文件和消除SmartScreen筛选器安全提醒。
* 沃通CA提供微软官方推荐的EV代码签名证书,列入微软硬件开发人员中心推荐列表,帮助开发者进行数字签名,请 点击查看 EV代码签名证书
WHQL认证,也叫Windows徽标认证,是用以创建并管理用于测试系统和其他外围设备硬件与微软Windows操作系统的兼容性测试工具。早期Windows操作系统中,不可靠的硬件和编制不良的驱动程序是造成操作系统错误频发的重要原因,为了有效解决上述问题,微软设立WHQL认证针对第三方设备和驱动程序进行测试。微软通过这项测试来帮助客户满足平台特性、并保证终端用户高品质的Windows体验的系统和外围设备。
* 沃通提供Windows徽标认证服务,帮助软件开发者完成WHQL认证,请 点击查看《WHQL徽标认证服务》
驱动程序开发者必须通过 Windows 硬件开发人员中心仪表板门户向微软提交新驱动程序。硬件开发中心仪表板帐户注册过程,必须使用 EV 代码签名证书签名指定文件,才能完成帐户注册。
WHQL 仅对驱动程序包目录文件进行签名,但不将签名嵌入驱动程序文件。驱动程序开发者需从微软指定的证书颁发机构获取EV证书,硬件开发中心门户所有提交的驱动程序必须先由 EV 代码签名证书签名。
由于WHQL认证流程的复杂性,具有一定的技术门槛,由专业团队提供的WHQL认证服务,客户无需额外投入资源建立测试环境、梳理认证流程、了解测试细节,能够帮助驱动程序开发者少走弯路、快速完成认证。
驱动签名及WHQL认证的好处
保障驱动代码的完整性和有效性,保证提交的驱动文件完整、未被篡改
通过数字签名标识开发商的身份,验证开发商身份信息和合法性
消除安装过程中的兼容性提醒,安装无需“禁用驱动程序数字签名”
通过认证后,产品被微软全球的Windows Catalog以及HCL收录
微软在线Windows Update服务,直接从Windows Update中更新驱动
硬件设备出口强制要求WHQL认证,否则无法通关
通过认证测试提高产品质量,减少产品召回,降低售后服务成本
企业有权在产品和包装上使用“Designed for Windows”等徽标
产品及服务推荐
| 方案类型 | 常规方案 | 高级方案 |
| 对象 | Windows驱动 | Windows硬件驱动 |
| 解决问题 |
Win10 强制徽标认证 Win7、Windows 2008 代码签名兼容性问题 Win7、Win8、Win8.1、Win10签名验证 |
解决驱动、硬件与Windows系统兼容性问题 驱动签名验证 获得WHQL测试报告 驱动在线安装 |
| 额外功能 | 消除驱动安装时弹出的Trusted Publisher警告 |
驱动安装时弹出的Trusted Publisher警告 Windows自动识别并安装驱动 |
| 沃通服务内容 | 驱动兼容性测试,提交微软实验室,解决Windows下驱动签名验证问题 | 驱动WHQL兼容性测试 测试包提交微软获得WHQL认证报告 驱动获得微软LOGO(徽标)认证 驱动发布到微软Update服务实现在线安装 |
| 预估完成天数 | 5-6个工作日 | 6-10个工作日 |
相关阅读
软发放给第三方 CA 的交叉证书全部于 2021年4月底到期,从 2021 年 5 月开始,已经无法用第三方 EV代码签名证书给驱动添加数字签名了,那么,没有设备驱动程序的代码签名怎么办呢?
2016年7月底,在Win10正式版发布一周年之际,微软宣布从1607版本开始,Win10内核驱动要求强制数字签名,所有该模式驱动都必须递交到Windows硬件开发者中心去获得数字签名。
很多工业和行业的硬件设备都要考虑兼容在Windows系统上使用,这个使用过程中难免涉及设备的驱动使用,但Windows系统对驱动的安装、启动、运行有一个较重要的要求,那就是相关的驱动文件需要加上数字签名。
自2021年开始,微软将不再接受第三方的商业代码签名证书给驱动添加数字签名。如果仅仅是为了给驱动进行数字签名,建议通过WHQL来为驱动获取数字签名。
● 微软操作系统硬件驱动数字签名指南和相应代码签名证书选购指南
从微软网站上有关文档可以看出:为了 Windows 操作系统的稳定和安全,没有签名的驱动是不允许运行的。所以,硬件厂商和相关软件开发商都需要申请相关的代码签名证书来数字签名其驱动代码。
● Windows 64位内核驱动和内核代码签名(Kernel Signing)指南
您成功申请 WoSign 内核代码签名证书 后就可以签名 Windows Vista, Windows 7, Windows 2008 server 等内核模式代码(硬件驱动、系统文件、杀毒软件等),建议同时参考微软网站上的相关英文指南。
网站使用条款|隐私声明|粤ICP备15002424号|邮编:518067|WoSign®、沃通®为沃通电子认证服务有限公司注册商标
©2004-2022 沃通电子认证服务有限公司 WoTrus CA Limited All Rights Reserved
4006-967-446
沃通数字证书商店