软件发布证书、商业发布证书和商业测试证书的弃用

发布时间:2021-04-27 15:31:24

具有内核模式代码签名功能的现有交叉签名根证书将继续工作到到期。因此,所有链接回这些根证书的软件发布证书商业发布证书和商业测试证书也在同一时间表上失效。要让您的驱动程序签名,请做微软驱动签名微软徽标认证

受信任交叉证书的到期时间表是什么?

根据以下时间表,大多数交叉签名根证书将于 2021 年到期:

Common Name

Expiration date

VeriSign Class 3 Public Primary Certification Authority -   G5

2/22/2021

thawte Primary Root CA

2/22/2021

GeoTrust Primary Certification Authority

2/22/2021

GeoTrust Primary Certification Authority - G3

2/22/2021

thawte Primary Root CA - G3

2/22/2021

VeriSign Universal Root Certification Authority

2/22/2021

TC TrustCenter Class 2 CA II

4/11/2021

COMODO RSA Certification Authority

4/11/2021

UTN-USERFirst-Object

4/11/2021

DigiCert Assured ID Root CA

4/15/2021

DigiCert High Assurance EV Root CA

4/15/2021

DigiCert Global Root CA

4/15/2021

Entrust.net Certification Authority (2048)

4/15/2021

GlobalSign Root CA

4/15/2021

Go Daddy Root Certificate Authority - G2

4/15/2021

Starfield Root Certificate Authority - G2

4/15/2021

NetLock Arany (Class Gold) Fotanúsítvány

4/15/2021

NetLock Arany (Class Gold) Fotanúsítvány

4/15/2021

NetLock Platina (Class Platinum) Fotanúsítvány

4/15/2021

Security Communication RootCA1

4/15/2021

StartCom Certification Authority

4/15/2021

Certum Trusted Network CA

4/15/2021

COMODO ECC Certification Authority

4/11/2021

测试驱动程序可以选择哪些交叉签名证书的替代方案?

对于下面的所有选项,必须启用测试引导选项。

·         制造过程

·         WHQL 测试签名计划

·         企业 CA 流程 

现有的签名驱动程序包会发生什么情况?

只要驱动程序包在叶签名证书的到期日期之前有时间戳,它们将继续工作。

是否有方法可以运行生产驱动程序包,而无需将其公开给 Microsoft?

不可以,所有生产驱动程序包都必须提交给 Microsoft 并签署。

驱动程序包的每个新生产版本是否需要由 Microsoft 签名?

是的,每次重建生产级驱动程序包时,必须由 Microsoft 签名。

我们是否会继续在2021后用现有的第三方颁发的证书对非驱动程序代码进行签名?

是的,这些证书在过期之前将继续工作。 使用这些证书签名的代码将只能在用户模式下运行,并且将不允许在内核中运行,除非它具有有效的 Microsoft 签名。

我是否能够继续使用我的 EV 证书来签署提交给硬件开发人员中心的证书?

是的,EV 证书在过期之前将继续工作。 如果在颁发了 EV 证书的交叉证书过期后使用 EV 证书为内核模式驱动程序签名,则生成的驱动程序将不会加载、运行或安装。

如何实现知道我的签名证书是否会受到这些过期的影响?

如果交叉证书链以结尾 Microsoft Code Verification Root ,则签名证书会受到影响。

若要查看交叉证书链,请运行 signtool verify /v /kp <mydriver.sys>  例如:

1.png

2021开始,Microsoft 是否是生产内核模式代码签名的唯一提供程序?

是的。

硬件开发人员中心不提供适用于 Windows XP 的驱动程序签名,如何让我的驱动程序在 XP 中运行?

仍可使用第三方颁发的代码签名证书对驱动程序进行签名。 但是,对驱动程序进行签名的证书必须导入到 Local Computer Trusted Publishers 目标计算机上的证书存储中。 

我是否能够继续使用链接到2021年7月1日之后过期的交叉证书的证书对驱动程序进行签名?

不可以。在2021年7月1日之后,必须使用 WHQL 签名对内核模式驱动程序签名。 不能使用链接到2021年7月1日之后过期的交叉证书的证书来对内核模式驱动程序进行签名。 在此日期后使用这些证书对内核模式驱动程序进行签名会违反 Microsoft 受信任的根程序 (TRP) 策略。 CA 将吊销违反 Microsoft TRP 策略的证书。 其他证书可能存在于内核模式驱动程序上,但 Windows 会出于验证驱动程序的目的而忽略这些签名。