Condividi tramite

Deprecazione dei certificati dell'editore software, dei certificati di versione commerciale e dei certificati di test commerciali

  • Articolo

Attenzione

La maggior parte dei certificati incrociati è scaduta a luglio 2021. Non è possibile usare certificati di firma del codice concatenati a certificati incrociati scaduti per creare nuove firme digitali in modalità kernel per qualsiasi versione di Windows.

Microsoft Trusted Root Program non supporta più i certificati radice con funzionalità di firma in modalità kernel.

Per i requisiti dei criteri, vedi Requisiti per la firma del codice in modalità kernel di Windows 10.

I certificati radice con firma incrociata esistenti con funzionalità di firma del codice in modalità kernel continueranno a funzionare fino alla scadenza. Anche tutti i certificati dell'editore software, i certificati di rilascio commerciale e i certificati di test commerciali che concatenano a questi certificati radice non sono validi nella stessa pianificazione.

Per ottenere la firma del driver, eseguire prima di tutto la registrazione per il programma Windows Hardware Dev Center.

Domande frequenti

Qual è la pianificazione di scadenza dei certificati incrociati attendibili?

Tutti i certificati radice con firma incrociata sono scaduti.

Quali alternative ai certificati con firma incrociata sono disponibili per i driver di test?

Per tutte le opzioni seguenti, è necessario abilitare l'opzione di avvio TESTSIGNING.

Per i test dei driver all'avvio, vedere How to Install a Test Signed Driver Required for Windows Setup and Boot .For testing drivers at boot, see How to Install a Test-signed Driver Required for Windows Setup and Boot.

Per altre info, vedi Firmare i driver durante lo sviluppo e il test.

Cosa succederà ai pacchetti driver firmati esistenti?

Finché i pacchetti driver vengono timestampati prima della data di scadenza del certificato di firma foglia, continueranno a funzionare.

Esiste un modo per eseguire pacchetti driver di produzione senza esponerlo a Microsoft?

No, tutti i pacchetti driver di produzione devono essere inviati e firmati da Microsoft.

Ogni nuova versione di produzione di un pacchetto driver deve essere firmata da Microsoft?

Sì, ogni volta che viene ricompilato un pacchetto driver a livello di produzione, deve essere firmato da Microsoft.

È possibile firmare il codice non driver con i certificati rilasciati di terze parti esistenti?

Sì, questi certificati continuano a funzionare fino alla scadenza. Il codice firmato con questi certificati viene eseguito solo in modalità utente, a meno che non abbia una firma Microsoft valida.

Sarà possibile continuare a usare il certificato EV per firmare gli invii a Hardware Dev Center?

Sì, i certificati EV continueranno a funzionare fino alla scadenza. Se si firma un driver in modalità kernel con un certificato EV dopo la scadenza del certificato incrociato che ha emesso tale certificato EV, il driver risultante non verrà caricato, eseguito o installato.

Ricerca per categorie sapere se il certificato di firma sarà interessato da queste scadenze?

Se la catena di certificati incrociati termina in Microsoft Code Verification Root, il certificato di firma è interessato.

Per visualizzare la catena di certificati incrociati, eseguire signtool verify /v /kp <mydriver.sys>. Ad esempio:

[Ricerca della catena di certificati incrociati.]

Come è possibile automatizzare la firma dei test Microsoft per lavorare con i processi di compilazione?

I processi di compilazione possono chiamare l'API di Hardware Dev Center.

Per esempi che mostrano l'utilizzo, vedi il repository di Surface Dev Center Manager .

Microsoft è l'unico provider di firme di codice in modalità kernel di produzione?

Sì.

Hardware Dev Center non fornisce la firma dei driver per Windows XP, come è possibile eseguire i driver in XP?

I driver possono comunque essere firmati con un certificato di firma del codice rilasciato da terze parti. Tuttavia, il certificato che ha firmato il driver deve essere importato nell'archivio Local Computer Trusted Publishers certificati nel computer di destinazione. Per altre informazioni, vedere Archivio certificati autori attendibili.

In che modo le opzioni di firma di produzione differiscono per la versione di Windows?

Avviso

La firma incrociata non è più accettata per la firma del driver. L'uso di certificati incrociati per firmare i driver in modalità kernel è una violazione dei criteri microsoft Trusted Root Program (TRP). TRP non supporta più i certificati radice con funzionalità di firma in modalità kernel. I certificati in violazione dei criteri Microsoft TRP verranno revocati dalla CA.

Se il driver viene eseguito in Windows 7, 8 o 8.1, il driver deve essere firmato tramite windows Hardware Compatibility Program. Per iniziare, vedere Creare un nuovo invio hardware.

A partire da Windows 10, usare WHCP o firma di attestazione.

In caso di problemi durante la firma del driver con WHCP, segnalare le specifiche usando una delle opzioni seguenti:

  • Usare il portale Microsoft Collaborate, disponibile tramite il dashboard del Centro per i partner Microsoft, per creare un bug di feedback.
  • Passare al supporto per sviluppatori Windows, selezionare la scheda Contattaci e nella casella Supporto tecnico accanto a Sviluppo driver e test/certificazione selezionare Invia un evento imprevisto.