Поделиться через


Отмена сертификатов издателя программного обеспечения, сертификатов коммерческого выпуска и сертификатов коммерческого тестирования

Внимание

Большинство перекрестных сертификатов истекло в июле 2021 года. Сертификаты подписывания кода, которые цепочки истекли, нельзя использовать для создания цифровых подписей в режиме ядра для любой версии Windows.

Доверенные корневые программы Майкрософт больше не поддерживают корневые сертификаты, имеющие возможности подписывания в режиме ядра.

Требования к политике см. в разделе "Требования к подписи кода в режиме ядра Windows 10".

Существующие кросс-подписанные корневые сертификаты с возможностями подписывания кода в режиме ядра будут продолжать работать до истечения срока действия. Все сертификаты издателя программного обеспечения, сертификаты коммерческого выпуска и коммерческие тестовые сертификаты, которые возвращаются к этим корневым сертификатам, также становятся недействительными в одном расписании.

Чтобы получить подпись драйвера, сначала зарегистрируйтесь в программе Windows Центр разработки оборудования.

Часто задаваемые вопросы

Что такое срок действия доверенных кросс-сертификатов?

Истек срок действия всех перекрестных корневых сертификатов.

Какие альтернативы перекрестным сертификатам доступны для тестирования драйверов?

Для всех приведенных ниже параметров необходимо включить параметр загрузки TESTSIGNING.

Сведения о тестировании драйверов при загрузке см. в разделе "Установка тестового драйвера, подписанного тестом", необходимого для установки и загрузки Windows.

Дополнительные сведения см. в разделе "Подписывание драйверов во время разработки и тестирования".

Что произойдет с существующими пакетами драйверов со знаком?

Если пакеты драйверов заметятся до окончания срока действия конечного сертификата подписи, они будут продолжать работать.

Существует ли способ запуска рабочих пакетов драйверов, не предоставляя его корпорации Майкрософт?

Нет, все пакеты драйверов рабочей среды должны быть отправлены и подписаны корпорацией Майкрософт.

Нужно ли подписать каждую новую рабочую версию пакета драйвера корпорацией Майкрософт?

Да, каждый раз при перестроении пакета драйвера уровня производства он должен быть подписан корпорацией Майкрософт.

Можем ли мы подписывать код, отличный от драйвера, с помощью существующих выданных сертификатов стороннего поставщика?

Да, эти сертификаты продолжают работать до истечения срока их действия. Код, подписанный с помощью этих сертификатов, выполняется только в пользовательском режиме, если он не имеет допустимой подписи Майкрософт.

Сможет ли я продолжать использовать свой сертификат EV для отправки подписи в Центр разработки оборудования?

Да, сертификаты EV будут продолжать работать до истечения срока их действия. Если вы подписываете драйвер в режиме ядра с сертификатом EV после истечения срока действия кросс-сертификата, выданного этим сертификатом EV, результирующий драйвер не будет загружать, запускать или устанавливать.

Разделы справки знать, влияет ли мой сертификат подписи на эти сроки действия?

Если цепочка кросс-сертификатов заканчивается Microsoft Code Verification Root, то сертификат подписи затрагивается.

Чтобы просмотреть цепочку кросс-сертификатов, выполните команду signtool verify /v /kp <mydriver.sys>. Например:

[Поиск цепочки кросс-сертификатов.]

Как автоматизировать подписывание Microsoft Test для работы с нашими процессами сборки?

Процессы сборки могут вызывать API Центр разработки оборудования.

Примеры, демонстрирующие использование, см. в репозитории Surface Центр разработки Manager.

Является ли корпорация Майкрософт единственным поставщиком подписей кода в рабочем режиме ядра?

Да.

Центр разработки оборудования не предоставляет подписывание драйверов для Windows XP, как запустить драйверы в XP?

Драйверы по-прежнему могут быть подписаны с помощью сертификата подписи кода стороннего поставщика. Однако сертификат, подписанный драйвером, должен быть импортирован в Local Computer Trusted Publishers хранилище сертификатов на целевом компьютере. Дополнительные сведения см. в хранилище сертификатов доверенных издателей.

Как рабочие параметры подписывания отличаются версией Windows?

Предупреждение

Перекрестное подписание больше не принимается для подписывания водителя. Использование кросс-сертификатов для подписывания драйверов в режиме ядра является нарушением политики доверенной корневой программы Майкрософт (TRP). TRP больше не поддерживает корневые сертификаты, имеющие возможности подписывания в режиме ядра. Сертификаты в нарушение политик TRP Майкрософт будут отозваны ЦС.

Если драйвер работает в Windows 7, 8 или 8.1, драйвер должен быть подписан с помощью программы совместимости оборудования Windows. Чтобы приступить к работе, см. статью "Создание новой аппаратной отправки".

Начиная с Windows 10, используйте подпись WHCP или аттестации.

Если у вас возникли проблемы с подписыванием драйвера с помощью WHCP, сообщите об этом, используя одно из следующих элементов:

  • Используйте портал совместной работы Майкрософт, доступный на панели мониторинга Центра партнеров Майкрософт, чтобы создать ошибку обратной связи.
  • Перейдите в службу поддержки разработчиков Windows, перейдите на вкладку "Связаться с нами " и в окне технической поддержки рядом с разработкой драйверов и сертификацией выберите "Отправить инцидент".