Substituição de certificados do Editor de Software, certificados de versão comercial e certificados de teste comercial
Cuidado
A maioria dos certificados cruzados expirou em julho de 2021. Você não pode usar certificados de assinatura de código que encadeiam para certificados cruzados expirados para criar novas assinaturas digitais do modo kernel para qualquer versão do Windows.
O Programa Raiz Confiável da Microsoft não dá mais suporte a certificados raiz que têm recursos de assinatura do modo kernel.
Para obter requisitos de política, consulte os requisitos de assinatura de código do modo Kernel do Windows 10.
Os certificados raiz com sinal cruzado existentes com recursos de assinatura de código no modo kernel continuarão funcionando até a expiração. Todos os certificados do editor de software, certificados de versão comercial e certificados de teste comercial que são encadeados para esses certificados raiz também se tornam inválidos na mesma agenda.
Para assinar o driver, primeiro registre-se no programa do Centro de Desenvolvimento de Hardware do Windows.
Perguntas frequentes
- Qual é o cronograma de expiração dos certificados cruzados confiáveis?
- Quais alternativas para certificados com sinal cruzado estão disponíveis para testar drivers?
- O que acontecerá com meus pacotes de driver assinados existentes?
- Há uma maneira de executar pacotes de driver de produção sem expô-los à Microsoft?
- Todas as novas versões do meu pacote de driver precisam ser reenviadas no Centro de Desenvolvimento de Hardware?
- Continuaremos a assinar código não driver com nossos certificados emitidos por terceiros existentes após 2021?
- Será possível continuar usando meu certificado EV para assinar envios ao Centro de Desenvolvimento de Hardware?
- Como saber se meu certificado de autenticação será afetado por essas expirações?
- Como automatizar a Assinatura de Teste da Microsoft para trabalhar com nossos processos de build?
- A partir de 2021, a Microsoft será o único provedor de assinaturas de código do modo kernel de produção?
- O Centro de Desenvolvimento de Hardware não fornece assinatura de driver para o Windows XP, como fazer meus drivers serem executados em XP?
- Como as opções de assinatura de produção diferem pela versão do Windows?
Qual é o cronograma de expiração dos certificados cruzados confiáveis?
A maioria dos certificados raiz com sinal cruzado expirou em 2021, de acordo com o seguinte agendamento:
| Nome comum | Data de validade |
|---|---|
| VeriSign Class 3 Public Primary Certification Authority – G5 | 2/22/2021 |
| descongelar AC raiz primária | 2/22/2021 |
| GeoTrust Primary Certification Authority | 2/22/2021 |
| Autoridade de Certificação Primária do GeoTrust – G3 | 2/22/2021 |
| ca raiz primária de descongelamento – G3 | 2/22/2021 |
| VeriSign Universal Root Certification Authority | 2/22/2021 |
| TC TrustCenter Classe 2 CA II | 4/11/2021 |
| COMODO RSA Certification Authority | 4/11/2021 |
| UTN-USERFirst-Object | 4/11/2021 |
| Ac raiz da ID do DigiCert | 15/04/2021 |
| DigiCert High Assurance EV Root CA | 15/04/2021 |
| DigiCert Global Root CA | 15/04/2021 |
| Autoridade de certificação raiz da Entrust (2048) | 15/04/2021 |
| GlobalSign Root CA | 15/04/2021 |
| Go Daddy Root Certificate Authority – G2 | 15/04/2021 |
| Autoridade de Certificado Raiz do Starfield – G2 | 15/04/2021 |
| NetLock Arany (Classe Ouro) Fotanúsítvány | 15/04/2021 |
| NetLock Arany (Classe Ouro) Fotanúsítvány | 15/04/2021 |
| NetLock Platina (Classe Platinum) Fotanúsítvány | 15/04/2021 |
| AC Raiz 1 de comunicação de segurança | 15/04/2021 |
| Autoridade de Certificação StartCom | 15/04/2021 |
| Certum Trusted Network CA | 15/04/2021 |
| Autoridade de Certificação COMODO ECC | 4/11/2021 |
Quais alternativas para certificados com sinal cruzado estão disponíveis para testar drivers?
Para todas as opções abaixo, a opção de inicialização TESTSIGNING deve estar habilitada.
Para testar drivers na inicialização, consulte Como instalar um driver assinado por teste necessário para instalação e inicialização do Windows.
Para obter mais informações, consulte Como assinar drivers durante o desenvolvimento e o teste.
O que acontecerá com meus pacotes de driver assinados existentes?
Desde que os pacotes de driver sejam carimbos de data/hora antes da data de validade do certificado de assinatura folha, eles continuarão trabalhando.
Há uma maneira de executar pacotes de driver de produção sem expô-los à Microsoft?
Não, todos os pacotes de driver de produção devem ser enviados e assinados pela Microsoft.
Todas as novas versões de produção de um pacote de driver precisam ser assinadas pela Microsoft?
Sim, toda vez que um pacote de driver de nível de produção é recriado, ele deve ser assinado pela Microsoft.
Continuaremos a assinar código não driver com nossos certificados emitidos por terceiros existentes após 2021?
Sim, esses certificados continuarão funcionando até expirarem. O código assinado usando esses certificados só poderá ser executado no modo de usuário e não poderá ser executado no kernel, a menos que tenha uma assinatura válida da Microsoft.
Será possível continuar usando meu certificado EV para assinar envios ao Centro de Desenvolvimento de Hardware?
Sim, os certificados EV continuarão funcionando até expirarem. Se você assinar um driver do modo kernel com um certificado EV após a expiração do certificado cruzado que emitiu esse certificado EV, o driver resultante não carregará, executará ou instalará.
Como saber se meu certificado de autenticação será afetado por essas expirações?
Se a Cadeia de Certificados Cruzados terminar Microsoft Code Verification Root, o certificado de assinatura será afetado.
Para exibir a cadeia de certificados cruzados, execute signtool verify /v /kp <mydriver.sys>. Por exemplo:
![[Finding Cross Certificate Chain.]](images/signtoolcrosssigexample.png)
Como automatizar a Assinatura de Teste da Microsoft para trabalhar com nossos processos de build?
Seus processos de build podem chamar a API do Centro de Desenvolvimento de Hardware.
Para obter exemplos que mostram o uso, consulte o repositório do Surface Dev Center Manager .
A partir de 2021, a Microsoft será o único provedor de assinaturas de código do modo kernel de produção?
Sim.
O Centro de Desenvolvimento de Hardware não fornece assinatura de driver para Windows XP, como posso fazer meus drivers serem executados no XP?
Os drivers ainda podem ser assinados com um certificado de assinatura de código emitido por terceiros. No entanto, o certificado que assinou o driver deve ser importado para o Local Computer Trusted Publishers repositório de certificados no computador de destino. Consulte Repositório de Certificados de Editores Confiáveis para obter mais informações.
Como as opções de assinatura de produção diferem pela versão do Windows?
Aviso
A assinatura cruzada não é mais aceita para a assinatura do driver. Usar certificados cruzados para assinar drivers no modo kernel é uma violação da política de TRP (Programa Raiz Confiável) da Microsoft. Os certificados que violam as políticas do Microsoft TRP serão revogados pela AC.
Se o driver for executado no Windows 7, 8 ou 8.1, seu driver deverá ser assinado por meio do Programa de Compatibilidade de Hardware do Windows. Para começar, consulte Criar um novo envio de hardware.
Para Windows 10, use WHCP ou assinatura de atestado.
Se você tiver desafios ao assinar seu driver com o WHCP, informe as especificidades usando um dos seguintes:
- Use o portal do Microsoft Collaborate, disponível por meio do Painel do Microsoft Partner Center, para criar um bug de comentários.
- Acesse o suporte à engenharia de hardware do Windows, selecione a guia Fale conosco e, na lista suspensa do tópico de suporte do desenvolvedor , selecione HLK/HCK. Em seguida, selecione Enviar um incidente.