LSA 插件或 UEFI 固件签名要求
可使用合作伙伴中心硬件仪表板对本地安全机构 (LSA) 插件和 UEFI 固件二进制文件进行数字签名,以使其能够安装在 Windows 设备上。
LSA 插件和 UEFI 固件
- LSA 插件和 UEFI 固件签名需要扩展验证 (EV) 代码签名证书。
- 所有 LSA 和 UEFI 提交均必须是已签名的单个 CAB 二进制文件,并包含签名所需的所有文件。
- 此文件不应包含任何文件夹,而只应包含要签名的二进制文件或 .efi 文件。
- 仅 UEFI 固件 - CAB 文件签名必须与组织的验证码证书匹配。
- 视证书提供者而定,可能需要使用 SignTool 或外部进程。
- EFI ByteCode (EBC) 文件必须使用 /ALIGN:32 标志编译才能成功处理。
- 仅 UEFI 固件 - 如果提交的是垫片,则必须向垫片审查委员会提交完整的模板以供审查。 垫片审查过程请参阅 https://github.com/rhboot/shim-review/。
- 仅 LSA 插件 - CAB 文件签名必须与组织的 EV 代码签名证书匹配。
后续步骤
要了解如何在硬件仪表板中对 LSA 插件或 UEFI 固件进行文件签名,请参阅:
有关 Microsoft UEFI 签名策略和提交前测试的详细信息,请参阅: