Requisitos de firma de firmware de UEFI o complemento LSA
Puede usar el panel de hardware del Centro de partners para firmar digitalmente los complementos de la Autoridad de seguridad local (LSA) y los archivos binarios de firmware ueFI para habilitarlos en dispositivos windows.
Complementos LSA y firmware UEFI
- Los complementos LSA y la firma de firmware UEFI requieren un certificado de firma de código de validación extendida (EV).
- Todos los envíos de LSA y UEFI deben ser un único archivo de biblioteca CAB firmado y contener todos los archivos necesarios para la firma.
- Este archivo no debe contener carpetas y solo los archivos binarios o .efi que se van a firmar.
- SOLO FIRMWARE UEFI : la firma de archivo CAB debe coincidir con el certificado Authenticode de su organización.
- En función del proveedor de certificados, es posible que tenga que usar SignTool o un proceso externo.
- Los archivos EFI ByteCode (EBC) deben compilarse con la marca /ALIGN:32 para que el procesamiento se realice correctamente.
- SOLO FIRMWARE UEFI : si el envío es una corrección de compatibilidad, debe enviar una plantilla completa para su revisión en el panel de revisión de correcciones de compatibilidad ( shim). El proceso de revisión de correcciones de compatibilidad se describe en https://github.com/rhboot/shim-review/.
- SOLO COMPLEMENTOS LSA : la firma de archivo CAB debe coincidir con el certificado de firma de código EV para su organización.
Pasos siguientes
Para obtener información sobre cómo firmar un complemento LSA o un firmware UEFI en el panel de hardware:
Para obtener más información sobre las directivas de firma ueFI de Microsoft y las pruebas previas al envío, consulte:
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de