ドライバー コード署名の要件
お使いのドライバーは、ハードウェア ダッシュボードに申請する前に、証明書を使用して署名する必要があります。 組織はいくつでも証明書をそのダッシュボード アカウントに関連付けることができ、これらの証明書のいずれかを使用して、それぞれの申請に署名する必要があります。 組織に関連付けられる証明書 (Extended Validation (EV) と標準の両方) の数に制限はありません。
この記事では、ドライバーで使用できるコード署名の種類と、それらのドライバーに関連する要件に関する一般的な情報を提供します。
ドライバー署名の要件の詳細については、次のページを参照してください。
コード署名証明書を取得する場所
コード署名証明書は、次のいずれかの証明機関から購入できます。
EV 証明書署名済みドライバー
ハードウェア デベロッパー センター ダッシュボード アカウントには、構成証明署名のためのバイナリまたは HLK 認定のためのバイナリを申請する目的で、少なくとも 1 つの EV 証明書が関連付けられている必要があります。
次の規則が適用されます。
- 登録された EV 証明書は、申請時に有効である必要があります。
- Microsoft では、EV 証明書を使用して個々の申請に署名することを強く推奨していますが、パートナー センター アカウントにも登録されている Authenticode 署名証明書を使用して、申請に署名することもできます。
- すべての証明書が SHA2 である必要があります。また、
/fd sha256
SignTool コマンド ライン スイッチを使用して署名されていなければなりません。
証明機関からの承認済みEV証明書を既に持っている場合は、それを使用してパートナー センター アカウントを開設できます。 EV 証明書がない場合は、証明機関の を選択し 購入の指示に従います。
証明機関が連絡先情報を確認し、証明書の購入が承認されたら、その指示に従って証明書を取得します。
HLK テスト済みのダッシュボードで署名されたドライバー
HLK テストに合格したダッシュボード署名付きドライバーは、Windows Vista 以降 (Windows Server エディションを含む) で動作します。 HLK テストは、すべての OS バージョンのドライバーに署名するため、ドライバーの署名に推奨される方法です。 HLK でテストされたドライバーは、優れた Windows エクスペリエンスを提供するために、製造元が、信頼性、セキュリティ、電力効率、保守性、パフォーマンスに関する Microsoft のすべての要件を満たすようにハードウェアを厳密にテストすることを示しています。 テストには、業界標準への準拠と、テクノロジ固有の機能に関する Microsoft 仕様への準拠が含まれており、正しいインストール、展開、接続性、相互運用性を確保するのに役立ちます。 ダッシュボード申請のために HLK テスト済みドライバーを作成する方法については、Windows HLK の概要をご覧ください。
テスト シナリオ用の Windows 10 構成証明署名付きドライバー
Windowsデバイスのインストールでは、デジタル署名を使用して、ドライバー パッケージの整合性と、ドライバー パッケージを提供するソフトウェア発行元のIDを確認します。
テスト目的でのみ、HLK テスト不要で構成証明署名のためにドライバーを送信できます。
構成証明署名には、次の制限と要件があります。
構成証明署名付きドライバーは、小売対象ユーザー向けに Windows Update に公開できません。 リテールオーディエンス向けに Windows Update へのドライバーを公開するには、Windows ハードウェア互換性プログラム (WHCP) を通じてドライバーを送信する必要があります。 テスト目的で構成証明署名付きドライバーを Windows Update に公開するには、CoDev かテスト レジストリ キー/Surface SSRK オプションを選択します。
構成証明署名は、Windows 10 Desktop 以降のバージョンの Windows でのみ機能します。
構成証明署名では、Windows 10 デスクトップ カーネル モードとユーザー モード ドライバーがサポートされています。 Windows 10 の場合、ユーザー モード ドライバーは Microsoft による署名を必要としませんが、ユーザー モード ドライバーとカーネル モード ドライバーの両方に、同じ構成証明プロセスを使うことができます。 以前のバージョンの Windows で実行する必要があるドライバーの場合は、Windows 認定の HLK/HCK テスト ログを送信する必要があります。
構成証明署名では、 ELAM または Windows Hello PE バイナリの適切な PE レベルが返されません。 追加の署名属性を受け取るために、これらのバイナリをテストして .hlkx パッケージとして送信する必要があります。
構成証明署名では、Extended Validation (EV) 証明書を使用して、パートナー センター (ハードウェア デベロッパー センター ダッシュボード) にドライバーを申請する必要があります。
構成証明署名では、ドライバー フォルダー名に特殊文字を含めず、UNC ファイル共有パスを含めず、長さ 40 文字未満にする必要があります。
ドライバーの構成証明署名を受けても、Windows 認定を取得したことにはなりません。 Microsoft の構成証明署名は、ドライバーが Windows によって信頼されていることを示します。 ただし、ドライバーは HLK Studio でテストされていないため、互換性や機能などの保証はありません。 構成証明署名を受け取るドライバーは、Windows Update を通じて小売対象ユーザーに公開できません。 リテール オーディエンスにドライバーを公開するには、Windows ハードウェア互換性プログラム (WHCP) を通じてドライバーを送信する必要があります。
DUA (Driver Update Acceptable) は、構成証明を使用して署名されたドライバーをサポートしていません。
次の PE レベルとバイナリは、構成証明を介して処理できます。
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .xpi
- .xap
Windows 10+ ドライバーの構成証明署名済みドライバーを作成する方法については、「構成証明署名 Windows 10+ ドライバー」を参照してください。
Windows Server 署名済みドライバー
- Windows Server 2016 以降では、構成証明されたデバイスとフィルター ドライバーの署名申請は受け入れられません。
- ダッシュボードは、HLK テストに正常に合格したデバイス ドライバーとフィルター ドライバーにのみ署名します。
- Windows Server 2016 以降では、HLK テストに正常に合格したダッシュボード署名付きドライバーのみが読み込まれます。
Windows Defender アプリケーション制御
企業は、Windows 10 Enterprise エディションを使用してドライバーの署名要件を変更するポリシーを実装できます。 Windows Defender アプリケーション制御 (WDAC) には、少なくとも構成証明署名付きドライバーを必要とするように構成できる、エンタープライズ定義のコード整合性ポリシーが用意されています。 WDAC の詳細については、「Windows Defender Application Control のデプロイプロセスの計画と作業の開始」を参照してください。
Windows ドライバー署名の要件
次の表は、Windows のドライバー署名要件をまとめたものです。
バージョン | 構成証明ダッシュボード署名 | HLK テストに合格したダッシュボード署名 | 2015 年 7 月 29 日より前に発行された SHA-1 証明書を使ったクロス署名 |
---|---|---|---|
Windows Vista | いいえ | イエス | はい |
Windows 7 | いいえ | イエス | はい |
Windows 8 / 8.1 | いいえ | イエス | はい |
Windows 10 | はい | はい | X (Windows 10 1809 以降) |
Windows 10 - DG が有効 | *構成による | *構成による | *構成による |
Windows Server 2008 R2 | いいえ | イエス | はい |
Windows Server 2012 R2 | いいえ | イエス | はい |
Windows Server >= 2016 | いいえ | イエス | はい |
Windows Server >= 2016 – DG 有効 | *構成による | *構成による | *構成による |
Windows IoT Enterprise | はい | イエス | はい |
Windows IoT Enterprise- DG が有効 | *構成による | *構成による | *構成による |
Windows IoT Core(1) | はい (必須ではない) | はい (必須ではない) | はい (クロス署名は、2015 年 7 月 29 日の後に発行された証明書でも機能します) |
*構成による – Windows 10 Enterprise Edition では、組織は、カスタムの署名要件を定義する Windows Defender Application Control (WDAC) を使用できます。 WDAC の詳細については、「Windows Defender Application Control のデプロイプロセスの計画と作業の開始」を参照してください。
(1) IoT Core を使用して小売製品 (非開発目的) を構築する製造元には、ドライバーの署名が必要です。 承認済み証明機関 (CA) の一覧については、「カーネル モード コード署名用クロス証明書」を参照してください。 UEFI セキュア ブートが有効な場合、ドライバーは署名されている必要があります。