コード署名証明書の取得Get a code signing certificate

パートナー センター アカウントを設定するには、デジタル情報を保護するためのコード署名証明書をあらかじめ取得しておく必要があります。Before you can establish a Partner Center account, you need to get a code signing certificate to secure your digital information. この証明書は、提出するコードに対する会社の所有権を確立するための公認されている標準です。This certificate is the accepted standard for establishing your company’s ownership of the code you submit. .exe、.cab、.dll、.ocx、.msi、.xpi、.xap ファイルなどの PE バイナリにデジタル署名できます。It allows you to digitally sign PE binaries, such as .exe, .cab, .dll, .ocx, .msi, .xpi and .xap files.

手順 1:EV 証明書を取得するStep 1: Obtain an EV certificate

  • Microsoft では、Microsoft の信頼されたルート証明書プログラムの一環として、カーネル モード コード署名に登録して承認されたパートナーからの拡張された検証 (EV) コード署名証明書を求めています。Microsoft requires an extended validation (EV) code signing certificates from partners enrolled and authorized for Kernel Mode Code Signing as part of the Microsoft Trusted Root Certificate Program. これらの機関のいずれかからの承認された EV 証明書を既に持っている場合は、その証明書を使ってパートナー センター アカウントを設定できます。If you already have an approved EV certificate from one of these authorities, you can use it to establish a Partner Center account. 証明書を持っていない場合は、新しい証明書を購入する必要があります。If you don’t have a certificate, you’ll need to buy a new one.

手順 2:新しいコード署名証明書を購入するStep 2: Buy a new code signing certificate

承認された EV コード署名証明書がない場合は、次のいずれかの証明機関から証明書を購入できます。If you don’t have an approved EV code signing certificate, you can buy one from one of the certificate authorities below.

拡張検証コード署名証明書Extended validation code signing certificates

手順 3:コード署名証明書を取得するStep 3: Retrieve code signing certificates

証明機関によって連絡先情報が検証され、証明書の購入が承認されたら、証明機関の指示に従って証明書を取得します。Once the certificate authority has verified your contact information and your certificate purchase is approved, follow their directions to retrieve the certificate.

注意

証明書の取得には、同じコンピューターとブラウザーを使う必要があります。You must use the same computer and browser to retrieve your certificate.

次のステップNext steps

コード署名 FAQCode Signing FAQ

ここでは、Windows 10 のコード署名についてよく寄せられる質問に対してお答えします。This section provides answers to frequently asked questions about code signing for Windows 10. その他のコード署名情報は、Windows ハードウェア認定に関するブログでご確認いただけます。Additional code signing information is available on the Windows Hardware Certification blog.

HLK テスト済みのダッシュボードで署名されたドライバーHLK Tested and Dashboard Signed Drivers

  • HLK テストに合格し、ダッシュボードで署名されたドライバーは、Windows Server エディションを含む Windows Vista から Windows 10 すべてで動作します。A dashboard signed driver that has passed the HLK tests will work on Windows Vista through Windows 10, including Windows Server editions. これは、すべての OS バージョンで同じ処理になるため、ドライバー署名の方法として推奨されています。This is the recommended method for driver signing, because it allows a single process for all OS versions. また、ドライバーが HLK テスト済みであるということは、優れた Windows エクスペリエンスを提供できるように、製造元が自社のハードウェアを厳格にテストし、信頼性、セキュリティ、電力効率性、保守、およびパフォーマンスに関する Microsoft のすべての要件を満たしたことを示します。In addition, HLK tested drivers demonstrate that a manufacturer has rigorously tested their hardware to meet all of Microsoft's requirements with regards to reliability, security, power efficiency, serviceability, and performance, so as to provide a great Windows experience. これには、適切なインストール、展開、接続、相互運用を行えるように、業界標準に準拠していることと、テクノロジに固有の機能に関する Microsoft の仕様に準拠していることが含まれます。This includes compliance with industry standards and adherence with Microsoft specifications for technology-specific features, helping to ensure correct installation, deployment, connectivity and interoperability. HLK について詳しくは、「Windows ハードウェアの互換性プログラム」をご覧ください。For more information about the HLK, see Windows Hardware Compatibility Program.

Windows 10 デスクトップの構成証明署名Windows 10 Desktop Attestation Signing

  • 構成証明署名を使ってダッシュボードで署名されたドライバーは、Windows 10 デスクトップ以降のバージョンの Windows でのみ動作します。A dashboard signed driver using attestation signing will only work on Windows 10 Desktop and later versions of Windows.
  • 構成証明署名されたドライバーは、Windows 10 デスクトップのみで動作し、Windows 7、Windows 8.1、Windows Server 2016 などのその他のバージョンの Windows では動作しません。An attestation signed driver will only work for Windows 10 Desktop; it will not work for other versions of Windows, such as Windows Windows 7, Windows 8.1, or Windows Server 2016 and greater.
  • 構成証明署名は、Windows 10 デスクトップのカーネル モード ドライバーとユーザー モード ドライバーをサポートしています。Attestation signing supports Windows 10 Desktop kernel mode and user mode drivers.

Windows 10 以前での証明書移行署名Windows 10 Earlier Certificate Transition Signing

  • 以下は、Windows 10 1803 以前にのみ適用されます。The below only applies to Windows 10 1803 and lower. Windows 10 1809 以降では、これらは動作しません。As of Windows 10 1809, these will no longer work.
  • Windows 10 では、2015 年 7 月 29 日より後に発行されたいずれかの証明書を使って署名されたタイムスタンプ付きのドライバーは推奨されません。A driver signed with any certificate issued after July 29th, 2015, with time stamping, is not recommended for Windows 10.
  • 2015 年 7 月 29 日より後に有効期限が切れるいずれかの証明書を使って署名されたタイムスタンプなしのドライバーは、証明書の有効期限が切れるまで Windows 10 で機能します。A driver signed with any certificate that expires after July 29th, 2015, without time stamping, will work on Windows 10 until the certificate expires.

クロス署名と SHA-256 証明書Cross-Signing and SHA-256 Certificates

クロス署名では、Microsoft が信頼する証明書機関 (CA) によって発行された証明書を使ってドライバーが署名されるプロセスについて説明します。Cross-signing describes a process where a driver is signed with a certificate issued by a Certificate Authority (CA) that is trusted by Microsoft. 詳しくは、クロス証明書の概要に関するページをご覧ください。For more information, see Cross-Certificates Overview.

  • SHA-256 は Windows 8 以降のバージョンでサポートされます。Windows 8 and later versions support SHA-256.
  • 修正プログラムを適用する場合は、Windows 7 でも、SHA-256 をサポートします。Windows 7, if patched, supports SHA-256. 修正プログラムを適用していない Windows 7 を実行するデバイスをサポートする必要がある場合は、SHA-1 証明書を使ってクロス署名するか、署名するためにダッシュボードに提出する必要があります。If you need to support unpatched devices that run Windows 7, you need to either cross-sign with a SHA-1 certificate or submit to the Dashboard for signing. それ以外の場合は、SHA-1 または SHA-2 証明書を使ってクロス署名するか、署名用の HLK/HCK 申請を作成することができます。Otherwise, you can either cross-sign with SHA-1 or SHA-2 certificate or create an HLK/HCK submission for signing.
  • Windows Vista では SHA-256 はサポートされないため、SHA-1 証明書を使ってクロス署名するか、Windows Vista のドライバー署名用の HLK/HCK 申請を作成する必要があります。Because Windows Vista doesn’t support SHA-256, you need to either cross-sign with a SHA-1 certificate or create an HLK/HCK submission for Windows Vista driver signing.
  • 2015 年 7 月 29 日より前に発行された SHA-256 証明書 (EV 証明書を含む) を使ってクロス署名されたドライバーは、Windows 8 以降で動作します。A driver cross-signed with a SHA-256 certificate (including an EV certificate) issued prior to July 29th, 2015 will work on Windows 8 and later. Windows Vista または Windows Server 2008 では動作しません。It will not work on Windows Vista or Windows Server 2008.
  • Windows Update を通じて今年の前半に発行された更新プログラムが適用されている場合は、Windows 7 または Server 2008 R2 でも、2015 年 7 月 29 日より前に発行された SHA-256 証明書 (EV 証明書を含む) を使ってクロス署名されたドライバーが動作します。A driver cross-signed with a SHA-256 certificate (including an EV certificate) issued prior to July 29th, 2015 will work on Windows 7 or Server 2008R2 if the patch issued through Windows Update earlier this year has been applied. 詳しくは、「Windows 7 および Windows Server 2008 R2 で SHA-2 ハッシュ アルゴリズムを利用可能」と「マイクロソフト セキュリティ アドバイザリ:Windows 7 および Windows Server 2008 R2 で SHA-2 コード署名サポートを利用可能(2015 年 3 月 10 日)」をご覧ください。For more information, see Availability of SHA-2 Hashing Algorithm for Windows 7 and Windows Server 2008 R2 and Microsoft security advisory: Availability of SHA-2 code signing support for Windows 7 and Windows Server 2008 R2: March 10, 2015.
  • 2015 年 7 月 29 日より前に発行された SHA-1 証明書を使ってクロス署名されたドライバーは、Windows Vista から Windows 10 までのすべてのプラットフォームで動作します。A cross-signed driver using a SHA-1 certificate issued prior to July 29th, 2015 will work on all platforms starting with Windows Vista through Windows 10.
  • Windows 10 では、2015 年 7 月 29 日より後に発行された SHA-1 または SHA-256 証明書を使ってクロス署名されたドライバーは推奨されません。A cross-signed driver using a SHA-1 or SHA-256 certificate issued after July 29th, 2015 is not recommended for Windows 10.
  • SHA-256 証明書への移行作業について詳しくは Windows における Authenticode コード署名の強制とタイムスタンプに関するページをご覧ください。For more information about the effort to move to SHA-256 Certificates, see Windows Enforcement of Authenticode Code Signing and Timestamping

Device GuardDevice Guard

  • 企業は、Windows 10 Enterprise edition を使って、ドライバーの署名要件を変更する Device Guard ポリシーを実装することができます。Enterprises may implement a device guard policy to modify the driver signing requirements using Windows 10 Enterprise edition. Device Guard では、企業が定義したコードの整合性ポリシーを提供します。このポリシーは、少なくとも構成証明署名されたドライバーを必要とするように構成できます。Device Guard provides an enterprise-defined code integrity policy, which may be configured to require at least an attestation-signed driver. Device Guard について詳しくは、「Device Guard による証明と法令遵守」をご覧ください。For more information about Device Guard, see Device Guard certification and compliance.

Windows ServerWindows Server

  • Windows Server 2016 以降では、構成証明されたデバイスおよびフィルター ドライバーの署名申請は受け入れません。Windows Server 2016 and greater will not accept attested device and filter driver signing submissions.
  • ダッシュボードでは、HLK テストに合格したデバイスおよびフィルター ドライバーのみに署名します。The dashboard will only sign device and filter drivers that have successfully passed the HLK tests.
  • Windows Server 2016 以降では、HLK テストに合格したダッシュボード署名済みドライバーのみを読み込みます。Windows Server 2016 and greater will only load dashboard signed drivers that have successfully passed the HLK tests.

EV 証明書EV Certs

  • 2015 年 10 月 31 日の時点でハードウェア デベロッパー センター ダッシュボード アカウントには、構成証明署名のためのバイナリまたは HLK 認定のためのバイナリを提出する目的で、少なくとも 1 つの EV 証明書が関連付けられている必要があります。As of October 31, 2015, your Hardware Dev Center dashboard account must have at least one EV certificate associated with it to submit binaries for attestation signing or to submit binaries for HLK certification.
  • 提出されたバイナリそのものが署名されている必要があります。The submitted binaries themselves must be signed.

OS のサポートの概要OS Support Summary

次の表は、Windows のドライバー署名要件をまとめたものです。This table summarizes the driver signing requirements for Windows.

構成証明ダッシュボード署名Attestation Dashboard Signed HLK テストに合格したダッシュボード署名HLK Test Passed Dashboard Signed 2015 年 7 月 29 日より前に発行された SHA-1 証明書を使ったクロス署名Cross-signed using a SHA-1 certificate issued prior to July 29, 2015
Windows VistaWindows Vista XNo Yes Yes
Windows 7Windows 7 XNo Yes Yes
Windows 8 / 8.1Windows 8 / 8.1 XNo Yes Yes
Windows 10Windows 10 Yes Yes X (Windows 10 1809 以降)No (as of Windows 10 1809)
Windows 10 - DG 有効Windows 10 - DG Enabled *構成による*Configuration Dependent *構成による*Configuration Dependent *構成による*Configuration Dependent
Windows Server 2008 R2Windows Server 2008 R2 XNo Yes Yes
Windows Server 2012 R2Windows Server 2012 R2 XNo Yes Yes
Windows Server 2016 以降Windows Server >= 2016 XNo Yes Yes
Windows Server 2016 以降 – DG 有効Windows Server >= 2016 – DG Enabled *構成による*Configuration Dependent *構成による*Configuration Dependent *構成による*Configuration Dependent
Windows IoT EnterpriseWindows IoT Enterprise Yes Yes Yes
Windows IoT Enterprise - DG 有効Windows IoT Enterprise- DG Enabled *構成による*Configuration Dependent *構成による*Configuration Dependent *構成による*Configuration Dependent
Windows IoT Core(1)Windows IoT Core(1) 要 (必須ではない)Yes (Not Required) 要 (必須ではない)Yes (Not Required) 要 (2015 年 7 月 29 日以降後に発行された証明書ではクロス署名も機能します)Yes (Cross signing will also work for certificates issued after July 29, 2015)

*構成による - Windows 10 Enterprise エディションでは、組織は、カスタム ドライバーの署名要件を定義する Device Guard を使えます。*Configuration Dependent –With Windows 10 Enterprise edition, organizations can use Device Guard to define custom driver signing requirements. Device Guard について詳しくは、「Device Guard による証明と法令遵守」をご覧ください。For more information about Device Guard, see Device Guard certification and compliance.

(1) IoT Core を使って小売製品 (開発目的ではない製品) を構築する製造元には、ドライバーの署名が必要です。(1) Driver signing is required for manufacturers building retail products (i.e. for a non-development purpose) with IoT Core. 承認済みの証明機関 (CA) の一覧については、「カーネル モードのコード署名用クロス証明書」をご覧ください。For a list of approved Certificate Authorities (CAs), see Cross-Certificates for Kernel Mode Code Signing. UEFI セキュア ブートが有効な場合、ドライバーは署名されている必要があります。Note that if UEFI Secure Boot is enabled, then drivers must be signed.