カーネル モードのコード署名のクロス証明書Cross-Certificates for Kernel Mode Code Signing

この情報では、Microsoft Windows のコード署名カーネルモードバイナリファイルのクロス証明書を取得して使用する方法について説明します。This information describes how to obtain and use cross-certificates for code-signing kernel-mode binary files for Microsoft Windows.

注意

Microsoft セキュリティアドバイザリ (2880823) 「Microsoft ルート証明書プログラムの sha-1 ハッシュアルゴリズムの廃止」を参照してください。このポリシーの変更については、microsoft がルート証明機関に対して x.509 ハッシュアルゴリズムを使用して、SSL とコード署名を2016年1月1日より後に実行することを許可しなくなります。Please review Microsoft Security Advisory (2880823) "Deprecation of SHA-1 Hashing Algorithm for Microsoft Root Certificate Program" which describes a policy change wherein Microsoft will no longer allow root certificate authorities to issue X.509 certificates using the SHA-1 hashing algorithm for the purposes of SSL and code signing after January 1, 2016.

注意

Microsoft の信頼されたルートプログラムは、カーネルモード署名機能を持つルート証明書をサポートしなくなりました。The Microsoft Trusted Root Program no longer supports root certificates that have kernel mode signing capabilities. 詳細については、「ソフトウェア発行元証明書の廃止、商用リリース証明書、および商用テスト証明書」を参照してください。For more info, see Deprecation of Software Publisher Certificates, Commercial Release Certificates, and Commercial Test Certificates.

クロス証明書の概要Cross-Certificates Overview

クロス証明書は、ある証明機関 (CA) によって発行されたデジタル証明書であり、別の証明機関のルート証明書の公開キーに署名するために使用されます。A cross-certificate is a digital certificate issued by one Certificate Authority (CA) that is used to sign the public key for the root certificate of another Certificate Authority. クロス証明書は、単一の信頼されたルート CA から他の複数の Ca への信頼チェーンを作成するための手段を提供します。Cross-certificates provide a means to create a chain of trust from a single, trusted, root CA to multiple other CAs.

Windows では、クロス証明書:In Windows, cross-certificates:

  • オペレーティングシステムのカーネルに、信頼された1つの Microsoft ルート機関を与えることを許可します。Allow the operating system kernel to have a single trusted Microsoft root authority.
  • ソフトウェア発行元証明書 (SPCs) を発行する複数の商用 Ca に信頼チェーンを拡張します。これは、Windows での配布、インストール、および読み込みのためにコード署名ソフトウェアに使用されます。Extend the chain of trust to multiple commercial CAs that issue Software Publisher Certificates (SPCs), which are used for code-signing software for distribution, installation, and loading on Windows

ここで提供されているクロス証明書は、カーネルモードソフトウェアに適切に署名するための Windows Driver Kit (WDK) コード署名ツールと共に使用されます。The cross-certificates that are provided here are used with the Windows Driver Kit (WDK) code-signing tools for properly signing kernel-mode software. カーネルモードソフトウェアのデジタル署名は、Windows 向けに発行されたソフトウェアのコード署名に似ています。Digitally signing kernel-mode software is similar to code-signing any software that is published for Windows. クロス証明書は、カーネルモードソフトウェアに署名するときに、開発者またはソフトウェア発行者によってデジタル署名に追加されます。Cross-certificates are added to the digital signature by the developer or software publisher when signing the kernel-mode software. クロス証明書自体は、バイナリファイルまたはカタログのデジタル署名にコード署名ツールによって追加されます。The cross-certificate itself is added by the code-signing tools to the digital signature of the binary file or catalog.

クロス証明書を使用してサードパーティの暗号化サービスプロバイダー (Csp) に署名する方法の詳細については、サードパーティの csp の Authenticode 署名に関する説明を参照してください。See Authenticode Signing of Third-party CSPs for more information about how to use cross-certificates to sign third-party Cryptographic Service Providers (CSPs).

正しいクロス証明書を選択していますSelecting the Correct Cross-certificate

Microsoft では、コード署名カーネルモードコード用に SPCs を発行する CA ごとに、特定のクロス証明書を提供しています。Microsoft provides a specific cross-certificate for each CA that issues SPCs for code-signing kernel-mode code. 次の一覧には、SPC を発行したルート機関の正しいクロス証明書へのリンクがあります。The list below has a link to the correct cross-certificate for the root authority that issued your SPC.

次の手順に従って CA を識別し、関連するクロス証明書をダウンロードします。Follow the steps below to identify your CA, and then download the related cross-certificate.

  1. Microsoft 管理コンソール (MMC) を開き、証明書スナップインを追加します。Open the Microsoft Management Console (MMC) and add the Certificates snap-in:

    1. [スタート] ボタンをクリックし、検索ボックスに「mmc」と入力して、return キーを押します。Click the Start button, type “mmc” in the search box, and press return. [ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、[はい] をクリックします。If a User Account Control dialog box appears, click Yes.
    2. MMC の [ファイル] メニューで、[スナップインの追加と削除] を選択します。From the MMC File menu, select Add/Remove Snap-in, …
    3. 証明書スナップインを選択し、[追加] をクリックします。Select the Certificates snap-in and click Add.
    4. [ユーザーアカウント] を選択し、[完了] をクリックします。Select My user account and click Finish.
    5. 証明書スナップインをもう一度選択し、[追加] をクリックします。Select the Certificates snap-in again and click Add.
    6. [コンピューターアカウント] を選択し、[次へ] をクリックします。Select Computer account and click Next.
    7. [ローカルコンピューター] を選択し、[完了] をクリックします。Select Local computer and click Finish.
  2. 証明書ストアで SPC を見つけて、ダブルクリックします。Locate your SPC in the certificate store, and then double-click it. 証明書は、証明書のインストール方法に応じて、次の2つの場所のいずれかに一覧表示されます。Your certificate is listed in one of the following two locations, depending on how the certificate was installed.

    • 現在のユーザー、個人用、証明書ストア、またはThe Current User, Personal, Certificates store, or
    • ローカルコンピューターの個人用証明書ストアThe Local Computer, Personal, Certificates store
  3. [証明書] ダイアログボックスで、[証明のパス] タブをクリックし、証明のパスで一番上の証明書を選択します。In the Certificate dialog box, click on the Certification Path tab, and then select the top-most certificate in the certification path. これは、SPC の発行元のルート証明機関である CA です。This is the CA that is the issuing root authority for your SPC.

  4. ルート証明機関の証明書を表示するには、[証明書の表示] ボタンをクリックし、[新しい証明書] ダイアログボックスの [詳細] タブをクリックします。View the root authority certificate by clicking the View Certificate button, and then click the Details tab of the new Certificate dialog box.

  5. この証明書の発行者拇印を検索します。Find the Issuer and Thumbprint for this certificate. 次に、この CA の対応するエントリを下の一覧で見つけます。Then locate the corresponding entry for this CA in the list below.

  6. カーネルモードコードにデジタル署名するときに、CA の関連するクロス証明書をダウンロードし、このクロス証明書を SPC と共に使用します。Download the related cross-certificate for the CA and use this cross-certificate together with your SPC when digitally signing kernel-mode code

クロス証明書の一覧Cross-Certificate List

次の一覧には、コード署名カーネルモードコードのために SPCs を発行するために Microsoft によって現在サポートされているすべての Ca が含まれています。The following list contains all of the CAs that are currently supported by Microsoft for issuing SPCs for code-signing kernel-mode code.

CACA ルート証明書の拇印Root certificate thumbprint 有効期限Expiration date ダウンロード リンクDownload link
Certum 信頼されたネットワーク CACertum Trusted Network CA 55 43 55 15 fd d2 48 65 75 fd c5 cf 3b ad 00 c9 13 12 3d 0355 43 55 15 fd d2 48 65 75 fd c5 cf 3b ad 00 c9 13 12 3d 03 2021/04/152021/04/15 ダウンロードDownload
DigiCert の保証 ID ルート CADigiCert Assured ID Root CA ba 3e a5 4d 72 c1 45 d3 7c 25 5e 1e a4 0a fb c6 33 48 b9 6eba 3e a5 4d 72 c1 45 d3 7c 25 5e 1e a4 0a fb c6 33 48 b9 6e 2021/04/152021/04/15 ダウンロードDownload
DigiCert Global Root CADigiCert Global Root CA c9 83 39 19 f1 f3 6a 63 48 11 1e 93 02 6f d4 0e b9 6f bc 34c9 83 39 19 f1 f3 6a 63 48 11 1e 93 02 6f d4 0e b9 6f bc 34 2021/04/152021/04/15 ダウンロードDownload
DigiCert High Assurance EV Root CADigiCert High Assurance EV Root CA 2f 25 13 af 39 92 db 0a 3f 79 70 9f f8 14 3b 3f 7b d2 d1 432f 25 13 af 39 92 db 0a 3f 79 70 9f f8 14 3b 3f 7b d2 d1 43 2021/04/152021/04/15 ダウンロードDownload
Entrust.net Certification Authority (2048)Entrust.net Certification Authority (2048) 00 a3 e6 00 9e aa 73 9b 3d ee f4 b5 06 64 9e 8a 1a 7a d3 3a00 a3 e6 00 9e aa 73 9b 3d ee f4 b5 06 64 9d 8a 1a 7a d3 3a 2021/04/152021/04/15 ダウンロードDownload
Entrust ルート証明機関– G2Entrust Root Certification Authority – G2 d8 fc 24 87 48 58 5e 17 3e fb fb 30 75 c4 b4 d6 0f 9d 8d 08‎d8 fc 24 87 48 58 5e 17 3e fb fb 30 75 c4 b4 d6 0f 9d 8d 08 2025/07/072025/07/07 ダウンロードDownload
GeoTrust Primary Certification AuthorityGeoTrust Primary Certification Authority e8 6e 80 82 99 0e 3d fa ed 81 6d 9e b1 72 0f 91 a4 f1 a1 85e8 6e 80 82 99 0e 3d fa ed 81 6d 9e b1 72 0f 91 a4 f1 a1 85 2021/02/222021/02/22 ダウンロードDownload
GeoTrust プライマリ証明機関– G3GeoTrust Primary Certification Authority – G3 b2 bb bd fa c8 f1 a8 ad 58 95 cd 49 38 4b 22 ca 19 db 2d 1fb2 bb bd fa c8 f1 a8 ad 58 95 cd 49 38 4b 22 ca 19 db 2d 1f 2021/02/222021/02/22 ダウンロードDownload
GlobalSign Root CAGlobalSign Root CA cc 1d ee bf 6d 55 c2 c9 06 1b a1 6f 10 a0 bf a6 97 9a-z 4a 32cc 1d ee bf 6d 55 c2 c9 06 1b a1 6f 10 a0 bf a6 97 9a 4a 32 2021/04/152021/04/15 ダウンロードDownload
ゴー Daddy ルート証明機関– G2Go Daddy Root Certificate Authority – G2 84 2c 5c b3 4b 73 bb c5 ed 85 64 bd ed a7 86 96 7d 7b 42 ef84 2c 5c b3 4b 73 bb c5 ed 85 64 bd ed a7 86 96 7d 7b 42 ef 2021/04/152021/04/15 ダウンロードDownload
NetLock Arany (クラス Gold)NetLock Arany (Class Gold) 89 4f 1d 28 97 aa 4c 07 4d cd 85 c5 fc 09 ee 73 b9 51 04 d889 4f 1d 28 97 aa 4c 07 4d cd 85 c5 fc 09 ee 73 b9 51 04 d8 2021/04/152021/04/15 ダウンロードDownload
NetLock Platina (クラスプラチナ)NetLock Platina (Class Platinum) 97 dd 74 97 16 20 57 29 41 dc 80 0c 2f d8 0a 48 07 7d 10 b097 dd 74 97 16 20 57 29 41 dc 80 0c 2f d8 0a 48 07 7d 10 b0 2021/04/152021/04/15 ダウンロードDownload
セキュリティ通信 RootCA1Security Communication RootCA1 41 f2 8c e5 6f d8 b9 cb 46 7f b5 03 2a 3c ae 1c dc 9d 86 4841 f2 8c e5 6f d8 b9 cb 46 7f b5 03 2a 3c ae 1c dc 9d 86 48 2021/04/152021/04/15 ダウンロードDownload
Starfield.html ルート証明機関– G2Starfield Root Certificate Authority – G2 40 c2 0a 9a-z 33 fa d0 36 ac bf e8 2d 6c bb ee 1b 42 9b 86 de40 c2 0a 9a 33 fa d0 36 ac bf e8 2d 6c bb ee 1b 42 9b 86 de 2021/04/152021/04/15 ダウンロードDownload
StartCom 証明機関StartCom Certification Authority e6 06 9e 04 8d ea 8d 81 7a fc 41 88 b1 be f1 d8 88 d0 af 17e6 06 9e 04 8d ea 8d 81 7a fc 41 88 b1 be f1 d8 88 d0 af 17 2021/04/152021/04/15 ダウンロードDownload
TC TrustCenter Class 2 CA IITC TrustCenter Class 2 CA II 42 62 ff 7d 89 70 66 aa e7 75 80 d3 3a d2 88 03 f9 a1 1a 6242 62 ff 7d 89 70 66 aa e7 75 80 d3 3a d2 88 03 f9 a1 1a 62 2021/04/112021/04/11 ダウンロードDownload
Thawte Primary Root CAThawte Primary Root CA 55 38 e9 fe c1 40 30 b7 40 15 23 49 e1 15 a1 16 5d 29 07 4a55 38 e9 fe c1 40 30 b7 40 15 23 49 e1 15 a1 16 5d 29 07 4a 2021/02/222021/02/22 ダウンロードDownload
Thawte プライマリルート CA – G3Thawte Primary Root CA – G3 ba 57 ca 5e 78 dd 2d 1d 74 76 ae be e9 95 3e 39 6f d0 55 46ba 57 ca 5e 78 dd 2d 1d 74 76 ae be e9 95 3e 39 6f d0 55 46 2021/02/222021/02/22 ダウンロードDownload
VeriSign クラス3パブリックプライマリ証明機関– G5VeriSign Class 3 Public Primary Certification Authority – G5 57 53 4c cc 33 91 4c 41 f7 0e 2c bb 21 03 a1 db 18 81 7d 8b57 53 4c cc 33 91 4c 41 f7 0e 2c bb 21 03 a1 db 18 81 7d 8b 2021/02/222021/02/22 ダウンロードDownload
VeriSign Universal Root Certification AuthorityVeriSign Universal Root Certification Authority 9e d8 cd 56 01 f0 10 56 51 eb bb 3f 57 f0 31 82 e5 fa 7e 019e d8 cd 56 01 f0 10 56 51 eb bb 3f 57 f0 31 82 e5 fa 7e 01 2021/02/222021/02/22 ダウンロードDownload

新しいクロス証明書の一覧New Cross-Certificate List

次の一覧には、コード署名カーネルモードコード用に SPCs を発行するために Microsoft によって現在サポートされている新しい Ca がいくつか含まれています。The following list contains several new CAs that are currently supported by Microsoft for issuing SPCs for code-signing kernel-mode code.

CACA ルート証明書の拇印Root certificate thumbprint 有効期限Expiration date ダウンロード リンクDownload link
AddTrust External CA RootAddTrust External CA Root a7 5a c6 57 aa 7a 4c df e5 f9 de 39 3e 69 ef ca b6 59 d2 50a7 5a c6 57 aa 7a 4c df e5 f9 de 39 3e 69 ef ca b6 59 d2 50 2023/08/152023/08/15 ダウンロードDownload
GoDaddy クラス2証明機関GoDaddy Class 2 Certification Authority d9 61 24 72 ef 0f 27 87 e2 b2 d9 e0 63 a0 6b 32 fa 5e 33 3dd9 61 24 72 ef 0f 27 87 e2 b2 d9 e0 63 a0 6b 32 fa 5e 33 3d 2023/08/272023/08/27 ダウンロードDownload
Starfield.html クラス2証明機関Starfield Class 2 Certification Authority f8 fc 7f 3c dd 51 76 ad d2 7c f9 7f 73 96 59 09 46 6d 9a-z 22f8 fc 7f 3c dd 51 76 ad d2 7c f9 7f 73 96 59 09 46 6d 9a 22 2023/08/272023/08/27 ダウンロードDownload
UTN-USERFirst-ObjectUTN-USERFirst-Object ae 1e 25 26 01 30 a3 0b 1b c2 20 29 35 65 3b e5 a7 23 be f5ae 1e 25 26 01 30 a3 0b 1b c2 20 29 35 65 3b e5 a7 23 be f5 2023/08/152023/08/15 ダウンロードDownload