Deprecazione di certificati di autore software, certificati di versione commerciale e certificati di test commerciali
Attenzione
La maggior parte dei certificati incrociati è scaduta a luglio 2021. Non è possibile usare certificati di firma del codice concatenati a certificati incrociati scaduti per creare nuove firme digitali in modalità kernel per qualsiasi versione di Windows.
Microsoft Trusted Root Program non supporta più i certificati radice con funzionalità di firma in modalità kernel.
Per i requisiti dei criteri, vedere Windows 10 Requisiti di firma del codice in modalità kernel.
I certificati radice con firma incrociata esistenti con funzionalità di firma del codice in modalità kernel continueranno a funzionare fino alla scadenza. Tutti i certificati dell'editore software, i certificati di rilascio commerciale e i certificati di test commerciali che concatenano questi certificati radice diventano validi anche nella stessa pianificazione.
Per ottenere la firma del driver, registrare prima di tutto per il programma Windows Hardware Dev Center.
Domande frequenti
- Qual è la pianificazione di scadenza dei certificati incrociati attendibili?
- Quali alternative ai certificati con firma incrociata sono disponibili per i driver di test?
- Cosa accadrà ai pacchetti driver firmati esistenti?
- Esiste un modo per eseguire pacchetti driver di produzione senza esponerlo a Microsoft?
- È necessario inviare di nuovo ogni nuova versione del pacchetto driver in Hardware Dev Center?
- Continuerà a essere in grado di firmare il codice non driver con i certificati rilasciati da terze parti esistenti dopo il 2021?
- Sarà possibile continuare a usare il certificato ev per firmare gli invii a Hardware Dev Center?
- Ricerca per categorie sapere se il certificato di firma sarà interessato da queste scadenze?
- In che modo è possibile automatizzare la firma dei test Microsoft per lavorare con i processi di compilazione?
- A partire dal 2021, Microsoft sarà l'unico provider di firme di codice in modalità kernel di produzione?
- Hardware Dev Center non fornisce la firma dei driver per Windows XP, come è possibile eseguire i driver in XP?
- In che modo le opzioni di firma di produzione differiscono per la versione di Windows?
Qual è la pianificazione di scadenza dei certificati incrociati attendibili?
La maggior parte dei certificati radice con firma incrociata è scaduta nel 2021, in base alla pianificazione seguente:
| Nome comune | Expiration date |
|---|---|
| VeriSign Class 3 Public Primary Certification Authority - G5 | 2/22/2021 |
| thawte Primary Root CA | 2/22/2021 |
| GeoTrust Primary Certification Authority | 2/22/2021 |
| Autorità di certificazione primaria GeoTrust - G3 | 2/22/2021 |
| thawte Primary Root CA - G3 | 2/22/2021 |
| VeriSign Universal Root Certification Authority | 2/22/2021 |
| TC TrustCenter Class 2 CA II | 4/11/2021 |
| COMODO RSA Certification Authority | 4/11/2021 |
| UTN-USERFirst-Object | 4/11/2021 |
| Ca radice dell'ID garantito DigiCert | 4/15/2021 |
| DigiCert High Assurance EV Root CA | 4/15/2021 |
| DigiCert Global Root CA | 4/15/2021 |
| Entrust.net Certification Authority (2048) | 4/15/2021 |
| GlobalSign Root CA | 4/15/2021 |
| Go Daddy Root Certificate Authority - G2 | 4/15/2021 |
| Autorità di certificazione radice Starfield - G2 | 4/15/2021 |
| NetLock Arany (Classe Gold) Fotanúsítvány | 4/15/2021 |
| NetLock Arany (Classe Gold) Fotanúsítvány | 4/15/2021 |
| NetLock Platina (classe Platinum) Fotanúsítvány | 4/15/2021 |
| Security Communication RootCA1 | 4/15/2021 |
| Autorità di certificazione StartCom | 4/15/2021 |
| Ca di rete attendibile Certum | 4/15/2021 |
| COMODO ECC Autorità di certificazione | 4/11/2021 |
Quali alternative ai certificati con firma incrociata sono disponibili per i driver di test?
Per tutte le opzioni seguenti, è necessario abilitare l'opzione di avvio TESTSIGNING .
Per i test dei driver all'avvio, vedere Come installare un driver firmato da test richiesto per l'installazione e l'avvio di Windows.
Per altre info, vedi Firma dei driver durante lo sviluppo e il test.
Cosa accadrà ai pacchetti driver firmati esistenti?
Finché i pacchetti driver vengono timestampati prima della data di scadenza del certificato di firma foglia, continueranno a funzionare.
Esiste un modo per eseguire pacchetti driver di produzione senza esponerlo a Microsoft?
No, tutti i pacchetti driver di produzione devono essere inviati e firmati da Microsoft.
Ogni nuova versione di produzione di un pacchetto driver deve essere firmata da Microsoft?
Sì, ogni volta che viene ricompilato un pacchetto driver a livello di produzione, deve essere firmato da Microsoft.
Continuerà a essere in grado di firmare il codice non driver con i certificati rilasciati da terze parti esistenti dopo il 2021?
Sì, questi certificati continueranno a funzionare fino alla scadenza. Il codice firmato con questi certificati sarà in grado di essere eseguito solo in modalità utente e non potrà essere eseguito nel kernel, a meno che non abbia una firma Microsoft valida.
Sarà possibile continuare a usare il certificato ev per firmare gli invii a Hardware Dev Center?
Sì, i certificati EV continueranno a funzionare fino alla scadenza. Se si firma un driver in modalità kernel con un certificato EV dopo la scadenza del certificato incrociato che ha emesso tale certificato EV, il driver risultante non verrà caricato, eseguito o installato.
Ricerca per categorie sapere se il certificato di firma sarà interessato da queste scadenze?
Se la catena di certificati incrociati termina in Microsoft Code Verification Root, il certificato di firma è interessato.
Per visualizzare la catena di certificati incrociati, eseguire signtool verify /v /kp <mydriver.sys>. Ad esempio:
![[Ricerca della catena di certificati incrociati.]](images/signtoolcrosssigexample.png)
In che modo è possibile automatizzare la firma dei test Microsoft per lavorare con i processi di compilazione?
I processi di compilazione possono chiamare l'API di Hardware Dev Center.
Per esempi che mostrano l'utilizzo, vedi il repository di Surface Dev Center Manager .
A partire dal 2021, Microsoft sarà l'unico provider di firme di codice in modalità kernel di produzione?
Sì.
Hardware Dev Center non fornisce la firma dei driver per Windows XP, come è possibile eseguire i driver in XP?
I driver possono comunque essere firmati con un certificato di firma del codice rilasciato da terze parti. Tuttavia, il certificato che ha firmato il driver deve essere importato nell'archivio Local Computer Trusted Publishers certificati nel computer di destinazione. Per altre informazioni, vedere Archivio certificati autori attendibili .
In che modo le opzioni di firma di produzione differiscono per la versione di Windows?
Avviso
La firma incrociata non è più accettata per la firma del driver. L'uso di certificati incrociati per firmare i driver in modalità kernel è una violazione dei criteri microsoft Trusted Root Program (TRP). TRP non supporta più i certificati radice con funzionalità di firma in modalità kernel. I certificati in violazione dei criteri Microsoft TRP verranno revocati dalla CA.
Se il driver viene eseguito in Windows 7, 8 o 8.1, il driver deve essere firmato tramite il programma di compatibilità hardware di Windows. Per iniziare, vedere Creare un nuovo invio di hardware.
Per Windows 10, usare WHCP o firma di attestazione.
In caso di problemi durante la firma del driver con WHCP, segnalare le specifiche usando una delle opzioni seguenti:
- Usare il portale Microsoft Collaborate, disponibile tramite il dashboard del Centro per i partner Microsoft, per creare un bug di feedback.
- Passare al supporto per sviluppatori Windows, selezionare la scheda Contattaci e nella casella Supporto tecnico accanto a Sviluppo driver e test/certificazione selezionare Invia un evento imprevisto.
Informazioni correlate
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per