Requisiti di firma del firmware UEFI o plug-in LSA
È possibile usare il dashboard hardware del Centro per i partner per firmare digitalmente i plug-in dell'Autorità di sicurezza locale (LSA) e i file binari del firmware UEFI, per abilitarli per l'installazione nei dispositivi Windows.
Plug-in LSA e firmware UEFI
- I plug-in LSA e la firma del firmware UEFI richiedono un certificato di firma del codice di convalida estesa (EV).
- Tutti gli invii LSA e UEFI devono essere un singolo file di libreria CAB firmato e contenere tutti i file necessari per la firma.
- Questo file non deve contenere cartelle e solo i file binari o con estensione efi da firmare.
- SOLO FIRMWARE UEFI: la firma del file CAB deve corrispondere al certificato Authenticode per l'organizzazione.
- A seconda del provider di certificati, potrebbe essere necessario usare SignTool o un processo esterno.
- I file EFI ByteCode (EBC) devono essere compilati usando il flag /ALIGN:32 affinché l'elaborazione abbia esito positivo.
- SOLO FIRMWARE UEFI: se l'invio è uno shim, devi inviare un modello completo per la revisione alla scheda di revisione shim. Il processo di revisione shim è descritto in https://github.com/rhboot/shim-review/.
- SOLO PLUG-in LSA: la firma del file CAB deve corrispondere al certificato di firma del codice EV per l'organizzazione.
Passaggi successivi
Per informazioni su come firmare un plug-in LSA o un firmware UEFI nel dashboard hardware:
Per altre informazioni sui criteri di firma UEFI di Microsoft e sui test di pre-invio, vedere: