Desuso de certificados de publicador de software, certificados de versión comercial y certificados de prueba comercial
Precaución
La mayoría de los certificados cruzados caducaron en julio de 2021. No puede usar certificados de firma de código encadenados a certificados cruzados caducados para crear nuevas firmas digitales en modo kernel para ninguna versión de Windows.
El Programa raíz de confianza de Microsoft ya no admite certificados raíz que tengan funcionalidades de firma en modo kernel.
Para conocer los requisitos de las directivas, consulte Requisitos de firma de código en modo kernel de Windows 10.
Los certificados raíz con firma cruzada existentes con funcionalidades de firma de código en modo kernel seguirán funcionando hasta que caduquen. Todos los certificados de publicador de software, los certificados de versión comercial y los certificados de prueba comercial encadenados a estos certificados raíz también dejarán de ser válidos en la misma fecha.
Para que el controlador se firme, primero regístrese para el programa del Centro de desarrollo de hardware de Windows.
Preguntas más frecuentes
- ¿Cuál es el calendario de caducidad de los certificados cruzados de confianza?
- ¿Qué alternativas a los certificados con firma cruzada están disponibles para probar controladores?
- ¿Qué ocurrirá con mis paquetes de controladores firmados existentes?
- ¿Hay alguna manera de ejecutar paquetes de controladores de producción sin exponerlos a Microsoft?
- ¿Es necesario volver a enviar cada nueva versión del paquete de controladores al Centro de desarrollo de hardware?
- ¿Podemos firmar el código que no es de controlador con nuestros certificados emitidos por terceros existentes?
- ¿Puedo seguir usando mi certificado EV para firmar envíos al Centro de desarrollo de hardware?
- ¿Cómo puedo saber si mi certificado de firma se verá afectado por estas caducidades?
- ¿Cómo podemos automatizar la firma de pruebas de Microsoft para que funcione con nuestros procesos de compilación?
- ¿Microsoft es el único proveedor de firmas de código en modo kernel de producción?
- El Centro de desarrollo de hardware no proporciona firma de controladores para Windows XP, ¿cómo puedo hacer que mis controladores se ejecuten en XP?
- ¿Cómo difieren las opciones de firma de producción en la versión de Windows?
¿Cuál es el calendario de caducidad de los certificados cruzados de confianza?
Todos los certificados raíz con firma cruzada han caducado.
¿Qué alternativas a los certificados con firma cruzada están disponibles para probar controladores?
Para todas las opciones siguientes, la opción de arranque TESTSIGNING debe estar habilitada.
- Proceso MakeCert
- Programa de firmas como prueba WHQL
- Proceso de entidad de certificación empresarial
Para probar los controladores en el arranque, consulte Cómo instalar un controlador con firma de prueba necesario para el programa de instalación y arranque de Windows.
Para obtener más información, consulte Firma de controladores durante el desarrollo y las pruebas.
¿Qué ocurrirá con mis paquetes de controladores firmados existentes?
Siempre que los paquetes de controladores lleven la marca de tiempo antes de la fecha de caducidad del certificado de firma de hojas, seguirán funcionando.
¿Hay alguna manera de ejecutar paquetes de controladores de producción sin exponerlos a Microsoft?
No, todos los paquetes de controladores de producción deben enviarse y estar firmados por Microsoft.
¿Microsoft debe firmar cada nueva versión de producción de un paquete de controladores?
Sí, cada vez que se vuelve a generar un paquete de controladores de nivel de producción, Microsoft debe firmarlo.
¿Podemos firmar el código que no es de controlador con nuestros certificados emitidos por terceros existentes?
Sí, estos certificados seguirán funcionando hasta que caduquen. El código que se firma con estos certificados solo se ejecuta en modo de usuario, a menos que tenga una firma válida de Microsoft.
¿Puedo seguir usando mi certificado EV para firmar envíos al Centro de desarrollo de hardware?
Sí, los certificados EV seguirán funcionando hasta que caduquen. Si firma un controlador en modo kernel con un certificado EV después de la caducidad del certificado cruzado que emitió ese certificado EV, el controlador resultante no se cargará, ejecutará ni instalará.
¿Cómo puedo saber si mi certificado de firma se verá afectado por estas caducidades?
Si la cadena de certificados cruzados termina en Microsoft Code Verification Root, el certificado de firma se verá afectado.
Para ver la cadena de certificados cruzados, ejecute signtool verify /v /kp <mydriver.sys>. Por ejemplo:
![[Buscar cadena de certificados cruzados].](images/signtoolcrosssigexample.png)
¿Cómo podemos automatizar la firma de pruebas de Microsoft para que funcione con nuestros procesos de compilación?
Los procesos de compilación pueden llamar a la API del Centro de desarrollo de hardware.
Para obtener ejemplos que muestran el uso, consulte el repositorio de Administrador del centro de desarrollo de Surface.
¿Microsoft es el único proveedor de firmas de código en modo kernel de producción?
Sí.
El Centro de desarrollo de hardware no proporciona firma de controladores para Windows XP, ¿cómo puedo hacer que mis controladores se ejecuten en XP?
Los controladores se pueden seguir firmando con un certificado de firma de código emitido por terceros. Sin embargo, el certificado que firmó el controlador debe importarse al almacén de certificados de Local Computer Trusted Publishers del equipo de destino. Consulte Almacén de certificados de editores de confianza para obtener más información.
¿Cómo difieren las opciones de firma de producción en la versión de Windows?
Advertencia
La firma cruzada ya no se acepta para la firma de controladores. El uso de certificados cruzados para firmar controladores en modo kernel es una infracción de la directiva del Programa raíz de confianza (TRP) de Microsoft. El TRP ya no admite certificados raíz que tengan funcionalidades de firma en modo kernel. La entidad de certificación revocará los certificados que infrinjan las directivas de TRP de Microsoft.
Si el controlador se ejecuta en Windows 7, 8 o 8.1, debe estar firmado a través del Programa de compatibilidad de hardware con Windows. Para empezar, consulte Creación de un nuevo envío de hardware.
A partir de Windows 10, use WHCP o la firma de atestación.
Si tiene problemas para firmar el controlador con WHCP, notifique los detalles de la siguiente forma:
- Use el portal de Microsoft Collaborate, disponible a través del panel del Centro de partners de Microsoft, para crear un error con comentarios.
- Vaya a Soporte técnico para desarrolladores de Windows, seleccione la pestaña Contacto y, en el cuadro Soporte técnico, junto a Desarrollo de controladores y pruebas/certificación, seleccione Enviar un incidente.