驱动签名
2019-11-04自2021年5月左右,可能很多驱动开发者已经发现,原来可以使用的第三方商业CA颁发的EV代码签名证书再也无法给驱动加上有效的数字签名了。
Windows64位内核驱动和内核代码签名(Kernel Signing)指南
Windows 64位内核驱动和内核代码签名(Kernel Signing)指南,数字签名各种内核模式代码(硬件驱动、系统文件、杀毒软件等)签名指南。
沃通EV代码签名证书具有普通代码签名证书的所有功能,但采用更加严格的扩展验证标准(EV验证)审核开发者身份;并采用更安全的私钥保护机制,将证书存储在USB key中,杜绝了证书被盗用的风险。
2016年7月,微软在MSDN宣布从Windows 10的1607版本开始,强制要求所有新的Win10 内核驱动程序,必须获得Windows硬件开发者中心仪表盘门户的数字签名才能在系统中运行。这项政策主要帮助Windows变得更加安全,降低终端用户被恶意驱动程序感染的风险。
沃通微软操作系统硬件驱动数字签名指南和沃通代码签名证书选购指南。
为了Windows操作系统的稳定和安全,没有签名的驱动是不允许运行的。需要购买微软代码签名请了解微软操作系统硬件驱动数字签名指南和相应代码签名证书选购指南。
Microsoft Windows 驱动程序工具包 (WDK) 包括以下工具,可用于创建代码签名证书、对驱动程序包的目录文件进行签名,以及将签名嵌入驱动程序文件中。
自2021年开始,微软将不再接受第三方的商业代码签名证书给驱动添加数字签名。
驱动程序开发好之后,需要对驱动程序进行数字签名之后才能进行发布。
在Windows10系统中,未获得数字签名的驱动程序是不能运行的,会导致某些硬件不能使用,如果临时需要使用此硬件,就必须关闭Windows10系统的默认驱动验证,即禁用驱动程序强制签名。
驱动程序开发出来之后,一般的开发者都知道给驱动加上数字签名,否则驱动程序难于在Windows中安装运行。
根据微软官方的要求,2021年起,微软将不再认可内核驱动程序使用的第三方商业代码签名证书所签署的数字签名,取而代之的是需要利用 WHQL 来获取微软官方的数字签名。
几乎所有可以用于给内核驱动签名的第三方代码签名证书的交叉证书都将在 2021年4月到期。
微软在公告中明确说明,以后 Windows 中的驱动程序要获取数字签名,微软官方是的数字证书提供者,也就是说,以后的驱动都要获取微软官方颁发的数字签名。
硬件驱动要有WHQL数字签名才能实现正常安装、启动、运行,并实现驱动静默安装。