具有内核模式代码签名功能的现有交叉签名根证书将继续工作到到期。因此,所有链接回这些根证书的软件发布证书、商业发布证书和商业测试证书也在同一时间表上失效。要让您的驱动程序签名,请做微软驱动签名(微软徽标认证)。
根据以下时间表,大多数交叉签名根证书将于 2021 年到期:
Common Name | Expiration date |
VeriSign Class 3 Public Primary Certification Authority - G5 | 2/22/2021 |
thawte Primary Root CA | 2/22/2021 |
GeoTrust Primary Certification Authority | 2/22/2021 |
GeoTrust Primary Certification Authority - G3 | 2/22/2021 |
thawte Primary Root CA - G3 | 2/22/2021 |
VeriSign Universal Root Certification Authority | 2/22/2021 |
TC TrustCenter Class 2 CA II | 4/11/2021 |
COMODO RSA Certification Authority | 4/11/2021 |
UTN-USERFirst-Object | 4/11/2021 |
DigiCert Assured ID Root CA | 4/15/2021 |
DigiCert High Assurance EV Root CA | 4/15/2021 |
DigiCert Global Root CA | 4/15/2021 |
Entrust.net Certification Authority (2048) | 4/15/2021 |
GlobalSign Root CA | 4/15/2021 |
Go Daddy Root Certificate Authority - G2 | 4/15/2021 |
Starfield Root Certificate Authority - G2 | 4/15/2021 |
NetLock Arany (Class Gold) Fotanúsítvány | 4/15/2021 |
NetLock Arany (Class Gold) Fotanúsítvány | 4/15/2021 |
NetLock Platina (Class Platinum) Fotanúsítvány | 4/15/2021 |
Security Communication RootCA1 | 4/15/2021 |
StartCom Certification Authority | 4/15/2021 |
Certum Trusted Network CA | 4/15/2021 |
COMODO ECC Certification Authority | 4/11/2021 |
对于下面的所有选项,必须启用测试引导选项。
· 制造过程
· WHQL 测试签名计划
· 企业 CA 流程
只要驱动程序包在叶签名证书的到期日期之前有时间戳,它们将继续工作。
不可以,所有生产驱动程序包都必须提交给 Microsoft 并签署。
是的,每次重建生产级驱动程序包时,必须由 Microsoft 签名。
是的,这些证书在过期之前将继续工作。 使用这些证书签名的代码将只能在用户模式下运行,并且将不允许在内核中运行,除非它具有有效的 Microsoft 签名。
是的,EV 证书在过期之前将继续工作。 如果在颁发了 EV 证书的交叉证书过期后使用 EV 证书为内核模式驱动程序签名,则生成的驱动程序将不会加载、运行或安装。
如果交叉证书链以结尾 Microsoft Code Verification Root
,则签名证书会受到影响。
若要查看交叉证书链,请运行 signtool verify /v /kp <mydriver.sys>
。 例如:
是的。
仍可使用第三方颁发的代码签名证书对驱动程序进行签名。 但是,对驱动程序进行签名的证书必须导入到 Local Computer Trusted Publishers
目标计算机上的证书存储中。
不可以。在2021年7月1日之后,必须使用 WHQL 签名对内核模式驱动程序签名。 不能使用链接到2021年7月1日之后过期的交叉证书的证书来对内核模式驱动程序进行签名。 在此日期后使用这些证书对内核模式驱动程序进行签名会违反 Microsoft 受信任的根程序 (TRP) 策略。 CA 将吊销违反 Microsoft TRP 策略的证书。 其他证书可能存在于内核模式驱动程序上,但 Windows 会出于验证驱动程序的目的而忽略这些签名。