微软弃用内核驱动交叉根证书公告

      在微软受信任的根项目有内核模式签名功能已不再支持根证书。

有关策略要求，请参阅Windows10内核模式代码签名要求。

现有的具有内核模式代码签名功能的交叉签名根证书将继续工作，直到到期为止。结果，所有链接回这些根证书的软件发布者证书，商业发行证书和商业测试证书也将在相同的时间表上失效。要使驱动程序签名，请首先注册WindowsHardware Dev Center程序。

经常问的问题

·        受信任的交叉证书的到期时间表是什么？

·        交叉签名证书的替代方法可用于测试驱动程序？

·        现有的已签名驱动程序包将如何处理？

·        有没有一种方法可以运行生产驱动程序软件包而不暴露给Microsoft？

·        我的驱动程序软件包的每个新版本都需要重新提交到硬件开发中心吗？

·        2021年后，我们是否仍可以使用我们现有的第三方颁发的证书来签署非驾驶员代码？

·        我能否继续使用我的EV证书来签署对Hardware Dev Center的提交？

·        我怎么知道我的签名证书是否会受到这些过期影响？

·        我们如何使Microsoft测试签名自动化以与我们的构建过程一起使用？

·        从2021年开始，微软将成为生产内核模式代码签名的唯一提供商吗？

·        硬件开发中心不提供Windows XP的驱动程序签名，如何在XP中运行我的驱动程序？

受信任的交叉证书的到期时间表是什么？

交叉签名证书的替代方法可用于测试驱动程序？

可以使用以下替代方法：

·        MakeCert过程

·        WHQL测试签名程序

·        企业CA流程

要使用这些选项，必须启用TESTSIGNING。有关更多信息，请参见在开发和测试过程中对驱动程序进行签名。

现有的已签名驱动程序包将如何处理？

只要在交叉根证书的有效日期之前给驱动程序包加了时间戳，它们就可以继续工作。

有没有一种方法可以运行生产驱动程序软件包而不暴露给Microsoft？

否，所有生产驱动程序软件包都必须提交给Microsoft，并由Microsoft签名。

我的驱动程序软件包的每个新生产版本是否都需要由Microsoft签名？

是的，每次重建生产级驱动程序包时，都必须由Microsoft签名。

2021年后，我们是否仍可以使用我们现有的第三方颁发的证书来签署程序代码？

是的，这些证书将继续有效，直到它们过期。使用这些证书签名的代码只能在普通用户模式下运行，除非具有有效的Microsoft签名，否则将不允许在内核中运行。

我能否继续使用我的EV证书来签署对Hardware Dev Center的提交？

是的，您可以使用有效的EV证书对Hardware Dev Center的提交包进行签名，但是由EV证书签名的驱动程序包在证书的到期日期之后不再有效。

我怎么知道我的签名证书是否会受到这些证书的过期影响？

如果“交叉证书链”的结尾为MicrosoftCode Verification Root，则签名证书将受到影响。

要查看交叉证书链，请运行signtool verify /v /kp <mydriver.sys>。例如：

我们如何使Microsoft测试签名自动化以与我们的构建过程一起使用？

您的构建过程可以调用Hardware Dev CenterAPI。

有关显示用法的示例，请参见Surface Dev Center Manager存储库。

从2021年开始，微软将成为生产内核模式代码签名的唯一提供商吗？

是。

硬件开发中心不提供Windows XP的驱动程序签名，如何在XP中运行我的驱动程序？

仍然可以使用第三方签发的代码签名证书对驱动程序进行签名。但是，必须将对驱动程序进行签名的证书导入到Local ComputerTrusted Publishers目标计算机上的证书存储中。有关更多信息，请参见受信任的发行者证书存储。

微软官方转载