ドライバー コード署名の要件

お使いのドライバーは、ハードウェア ダッシュボードに申請する前に、証明書を使用して署名する必要があります。 組織はいくつでも証明書をそのダッシュボード アカウントに関連付けることができ、これらの証明書のいずれかを使用して、それぞれの申請に署名する必要があります。 組織に関連付けられる証明書 (Extended Validation (EV) と標準の両方) の数に制限はありません。

この記事では、お使いのドライバーで使用できるコード署名の種類と、それらのドライバーに関連する要件に関する一般的な情報をご紹介します。

ドライバー署名の要件の詳細については、次のページを参照してください。

• Windows 10 のドライバー署名の変更点に関するページ
• Windows 10 バージョン 1607 のドライバー署名の変更点
• Sysdev EV 証明書要件の更新に関するページ

コード署名証明書を取得する場所

コード署名証明書は、次のいずれかの証明機関から購入できます。

• DigiCert のコード署名証明書
• Entrust のコード署名証明書
• GlobalSign コード署名証明書
• SSL.com コード署名証明書

EV 証明書署名済みドライバー

ハードウェア デベロッパー センター ダッシュボード アカウントには、構成証明署名のためのバイナリまたは HLK 認定のためのバイナリを申請する目的で、少なくとも 1 つの EV 証明書が関連付けられている必要があります。 次の規則が適用されます。

• 登録された EV 証明書は、申請時に有効である必要があります。
• Microsoft では、EV 証明書を使用して個々の申請に署名することを強く推奨していますが、パートナー センター アカウントにも登録されている Authenticode 署名証明書を使用して、申請に署名することもできます。
• すべての証明書が SHA2 である必要があります。また、/fd sha256 SignTool コマンド ライン スイッチを使用して署名されていなければなりません。

証明機関からの承認済みEV証明書を既に持っている場合は、それを使用してパートナー センター アカウントを開設できます。 EV 証明書がない場合は、証明機関を選択し、その指示に従って購入します。

証明機関が連絡先情報を確認し、証明書の購入が承認されたら、その指示に従って証明書を取得します。

HLK テスト済みのダッシュボードで署名されたドライバー

HLK テストに合格したダッシュボード署名付きドライバーは、Windows Server エディションを含む Windows 10 を通じて Windows Vista で動作します。 HLK テストは、ドライバー署名の方法として推奨されています。このテストによって署名されるドライバーは、すべての OS バージョンに対応しているためです。 さらに、HLK テスト済みドライバーは、製造元がハードウェアを厳密にテストし、信頼性、セキュリティ、電力効率、保守性、パフォーマンスに関する Microsoft のすべての要件を満たし、優れた Windows エクスペリエンスを提供することを示します。 これには、業界標準への準拠と、テクノロジ固有の機能に関する Microsoft 仕様への準拠が含まれており、正しいインストール、デプロイ、接続性、相互運用性を確保するのに役立ちます。 ダッシュボード申請のために HLK テスト済みドライバーを作成する方法については、Windows HLK の概要をご覧ください。

テスト シナリオ用の Windows 10 構成証明署名付きドライバー

Windowsデバイスのインストールでは、デジタル署名を使用して、ドライバー パッケージの整合性と、ドライバー パッケージを提供するソフトウェア発行元のIDを確認します。

テスト目的でのみ、HLK テスト不要で構成証明署名のためにドライバーを送信できます。

構成証明署名には、次の制限と要件があります。

• 構成証明署名を受けたドライバーを、小売ユーザー用に Windows Update に発行することはできません。 リテールオーディエンス向けに Windows Update へのドライバーを公開するには、Windows ハードウェア互換性プログラム (WHCP) を通じてドライバーを送信する必要があります。 テスト目的で構成証明署名付きドライバーを Windows Update に公開するには、CoDev かテスト レジストリ キー/Surface SSRK オプションを選択します。

• 構成証明署名は、Windows 10 Desktop 以降のバージョンの Windows でのみ機能します。 Windows Server 2016、Windows 8、Windows 7 など、その他の Windows バージョンの場合、構成証明署名済みドライバーは動作しません。

• 構成証明署名では、Windows 10 デスクトップ カーネル モードとユーザー モード ドライバーがサポートされています。 Windows 10 の場合、ユーザー モード ドライバーは Microsoft による署名を必要としませんが、ユーザー モード ドライバーとカーネル モード ドライバーの両方に、同じ構成証明プロセスを使うことができます。 以前のバージョンの Windows で実行する必要があるドライバーの場合は、Windows 認定の HLK/HCK テスト ログを送信する必要があります。

• 構成証明署名は、ELAM または Windows Hello PE バイナリについて、適切な PE レベルを返しません。 追加の署名属性を受け取るために、これらをテストして .hlkx パッケージとして送信する必要があります。

• 構成証明署名では、Extended Validation (EV) 証明書を使用して、パートナー センター (ハードウェア デベロッパー センター ダッシュボード) にドライバーを申請する必要があります。

• 構成証明署名を行うには、ドライバー フォルダー名に特殊文字や UNC ファイル共有パスを使用せず、 40 文字未満のフォルダー名にする必要があります。

• ドライバーの構成証明署名を受けても、Windows 認定を取得したことにはなりません。 Microsoft からの構成証明署名は、ドライバーが Windows によって信頼できることを示していますが、HLK Studio 内でドライバーがテストされていないため、互換性や機能などに対する保証はありません。 構成証明署名を受けるドライバーは、Windows Update を通じてリテール オーディエンスに公開できません。 リテール オーディエンスにドライバーを公開するには、Windows ハードウェア互換性プログラム (WHCP) を通じてドライバーを送信する必要があります。

• DUA (Driver Update Acceptable) は、構成証明を使用して署名されたドライバーをサポートしていません。

• 次の PE レベルとバイナリは、構成証明を介して処理できます。

  • PeTrust
  • DrmLevel
  • HAL
  • .exe
  • .cab
  • .dll
  • .ocx
  • .msi
  • .xpi
  • .xap

Windows 10+ ドライバーの構成証明署名済みドライバーを作成する方法については、「構成証明署名 Windows 10+ ドライバー」を参照してください。

Windows Server 署名済みドライバー

• Windows Server 2016 以降では、構成証明されたデバイスおよびフィルター ドライバーの署名申請は受け入れません。
• ダッシュボードは、HLK テストに正常に合格したデバイス ドライバーとフィルター ドライバーにのみ署名します。
• Windows Server 2016 以降では、HLK テストに合格したダッシュボード署名済みドライバーのみを読み込みます。

Windows Defender アプリケーション制御

企業は、Windows 10 Enterprise edition を使って、ドライバーの署名要件を変更するポリシーを実装することができます。 Windows Defender Application Control (WDAC) では、企業が定義したコードの整合性ポリシーを提供します。このポリシーは、少なくとも構成証明署名されたドライバーを必要とするように構成できます。 WDAC の詳細については、「Windows Defender Application Control のデプロイプロセスの計画と作業の開始」を参照してください。

Windows ドライバー署名の要件

次の表は、Windows のドライバー署名要件をまとめたものです。

バージョン	構成証明ダッシュボード署名	HLK テストに合格したダッシュボード署名	2015 年 7 月 29 日より前に発行された SHA-1 証明書を使ったクロス署名
Windows Vista	いいえ	はい	はい
Windows 7	いいえ	はい	はい
Windows 8 / 8.1	いいえ	はい	はい
Windows 10	はい	はい	X (Windows 10 1809 以降)
Windows 10 - DG が有効	*構成による	*構成による	*構成による
Windows Server 2008 R2	いいえ	はい	はい
Windows Server 2012 R2	いいえ	はい	はい
Windows Server >= 2016	いいえ	はい	はい
Windows Server >= 2016 – DG 有効	*構成による	*構成による	*構成による
Windows IoT Enterprise	はい	はい	はい
Windows IoT Enterprise- DG が有効	*構成による	*構成による	*構成による
Windows IoT Core(1)	はい (必須ではない)	はい (必須ではない)	はい (クロス署名は、2015 年 7 月 29 日の後に発行された証明書でも機能します)

*構成による – Windows 10 Enterprise Edition では、組織は、カスタムの署名要件を定義する Windows Defender Application Control (WDAC) を使用できます。 WDAC の詳細については、「Windows Defender Application Control のデプロイプロセスの計画と作業の開始」を参照してください。

(1) IoT Core を使用して小売製品 (開発目的以外) を構築する製造元には、ドライバーの署名が必要です。 承認済み証明機関 (CA) の一覧については、「カーネル モード コード署名用クロス証明書」を参照してください。 UEFI セキュア ブートが有効な場合、ドライバーは署名されている必要があります。