弃用软件发行者证书、商业发布证书和商业测试证书

注意

大多数交叉证书已于 2021 年 7 月过期。 不能使用链接到过期交叉证书的代码签名证书为任何版本的 Windows 创建新的内核模式数字签名。

Microsoft 受信任的根计划不再支持具有内核模式签名功能的根证书。

有关策略要求,请参阅Windows 10内核模式代码签名要求

具有内核模式代码签名功能的现有 交叉签名根证书 将继续工作,直到过期。 链接到这些根证书的所有软件发布者证书、商业发布证书和商业测试证书也会在同一计划上失效。

若要对驱动程序进行签名,请先 注册 Windows 硬件开发人员中心计划

常见问题

受信任的交叉证书的过期计划是什么?

根据以下计划,大多数交叉签名根证书在 2021 年过期:

公用名 到期日期
VeriSign 类 3 公共主要证书颁发机构 - G5 2/22/2021
解冻主根 CA 2/22/2021
GeoTrust 主要证书颁发机构 2/22/2021
GeoTrust 主要证书颁发机构 - G3 2/22/2021
解冻主要根 CA - G3 2/22/2021
VeriSign 通用根证书颁发机构 2/22/2021
TC 信任中心类 2 CA II 4/11/2021
COMODO RSA 证书颁发机构 4/11/2021
UTN-USERFirst-Object 4/11/2021
DigiCert Assured ID 根 CA 2021/4/15
DigiCert 高保障 EV 根 CA 2021/4/15
DigiCert 全局根 CA 2021/4/15
Entrust.net 证书颁发机构 (2048) 2021/4/15
GlobalSign 根 CA 2021/4/15
Go Daddy 根证书颁发机构 - G2 2021/4/15
Starfield 根证书颁发机构 - G2 2021/4/15
NetLock Arany (类 Gold) Fotanúsítvány 2021/4/15
NetLock Arany (类 Gold) Fotanúsítvány 2021/4/15
NetLock Platina (类 Platinum) Fotanúsítvány 2021/4/15
安全通信 RootCA1 2021/4/15
StartCom 证书颁发机构 2021/4/15
Certum 受信任网络 CA 2021/4/15
COMODO ECC 证书颁发机构 4/11/2021

哪些替代交叉签名证书可用于测试驱动程序?

对于以下所有选项,必须启用 TESTSIGNING 启动选项

有关在启动时测试驱动程序,请参阅 如何安装 Windows 安装程序和启动所需的测试签名驱动程序

有关详细信息,请参阅 在开发和测试期间对驱动程序进行签名

现有已签名的驱动程序包会发生什么情况?

只要驱动程序包在叶签名证书到期日期之前加时间戳,它们就会继续工作。

有没有办法在不向 Microsoft 公开生产驱动程序包的情况下运行它?

否,所有生产驱动程序包都必须提交到 Microsoft 并由 Microsoft 签名。

驱动程序包的每个新生产版本是否需要由 Microsoft 签名?

是的,每次重新生成生产级驱动程序包时,都必须由 Microsoft 签名。

2021 年之后,我们能否继续使用现有的第三方颁发的证书对非驱动程序代码进行签名?

是的,这些证书将继续工作,直到过期。 使用这些证书签名的代码只能在用户模式下运行,并且不允许在内核中运行,除非它具有有效的 Microsoft 签名。

能否继续使用 EV 证书将提交签名到硬件开发人员中心?

是的,EV 证书将继续有效,直到过期。 如果在颁发该 EV 证书的交叉证书过期后使用 EV 证书对内核模式驱动程序进行签名,则生成的驱动程序将不会加载、运行或安装。

如何实现知道我的签名证书是否会受到这些过期的影响?

如果跨证书链以 Microsoft Code Verification Root结尾,签名证书将受到影响。

若要查看跨证书链,请运行 signtool verify /v /kp <mydriver.sys>。 例如:

[查找跨证书链。]

如何自动执行 Microsoft 测试签名以使用我们的生成过程?

生成过程可以调用 硬件开发人员中心 API

有关显示使用情况的示例,请参阅 Surface 开发人员中心管理器 存储库。

从 2021 年开始,Microsoft 是否会成为生产内核模式代码签名的唯一提供商?

是的。

硬件开发人员中心不提供 Windows XP 的驱动程序签名,如何让驱动程序在 XP 中运行?

仍可使用第三方颁发的代码签名证书对驱动程序进行签名。 但是,对驱动程序进行签名的证书必须导入到 Local Computer Trusted Publishers 目标计算机上的证书存储中。 有关详细信息 ,请参阅受信任的发布者证书存储

生产签名选项与 Windows 版本有何不同?

警告

驱动程序签名不再接受交叉签名。 使用交叉证书对内核模式驱动程序进行签名违反了 Microsoft 受信任的根计划 (TRP) 策略。 TRP 不再支持具有内核模式签名功能的根证书。 CA 将吊销违反 Microsoft TRP 策略的证书。

如果驱动程序在 Windows 7、8 或 8.1 上运行,则必须通过 Windows 硬件兼容性计划对驱动程序进行签名。 若要开始,请参阅 创建新的硬件提交

对于Windows 10,请使用 WHCP 或证明签名

如果在使用 WHCP 对驱动程序进行签名时有困难,请使用以下方法之一报告具体细节: