Poznámka
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Vzhledem k tomu, že se aktualizace firmwaru dodává jako balíček ovladače, postupuje stejně jako proces ověřování a podepisování jako balíček ovladače zařízení.
Při instalaci obsahu balíčku ovladače v systému pod testem (SUT) musí zařízení projít požadovanými testy sady Windows Hardware Lab Kit (HLK). Pokud neexistuje test speciálně pro testovaný firmware, vyhledejte nejvhodnější alternativu a podle potřeby odešlete výsledky s balíčkem HLK.
Balíček ovladačů se pak dá odeslat do Partnerského centra k podepisování.
Po podepsání je balíček ovladače poskytnut odesílateli, který má možnost publikovat jej ve službě Windows Update (WU) prostřednictvím Hardware Dashboardu (použitím funkce distribuce ovladačů).
Publikování do služby Windows Update se provádí prostřednictvím hardwarového řídicího panelu pomocí funkce Distribuce ovladačů.
Podepisování balíčku ovladače se liší od podepisování firmwaru UEFI, i když je potřeba podepsat obojí. Podepisování je prostřednictvím hardwarového řídicího panelu pomocí funkce služby podepisování souborů. Systém Windows používá podpis balíčku ovladače dodaného prostřednictvím katalogu zabezpečení k ověření integrity firmware.bin před předáním rozhraní UEFI. Systém Windows neposkytuje do firmwaru katalog zabezpečení. Podpis firmwaru rozhraní UEFI nebo aktualizace firmwaru zařízení se ověřuje firmwarem platformy a systém Windows ho nekontroluje. IHV nebo OEM zodpovídá za zajištění integrity a zabezpečení firmwaru prostřednictvím ověřování podpisu, šifrování nebo jiných prostředků. Podívejte se na následující odkaz pro další podrobnosti o aktualizacích zásad podepisování certifikační autority Microsoft UEFI.
Dále podepište obsah tobolky. Samotný obsah kapsle je určen výrobcem OEM. Kapsle může obsahovat pouze katalog imagí firmwaru, které se mají aktualizovat v libovolném formátu, který si OEM zvolí, nebo se může dodat ve formě image aplikace EFI (formát souboru PE/COFF). Pokud je kapsle soubor PE/COFF, musí být před odesláním do Microsoftu pro podepsání balíčku aktualizace Windows Firmware Update podepsána výrobcem OEM.
V systémech založených na Arm, bez klíčů jiných než Microsoft Production CA 2011 povolených v povolené databázi UEFI a Microsoft nepoužívá pod touto certifikační autoritou k podepisování kódu UEFI jiného výrobce, načtení takového modulu nemůže využít běžnou službu UEFI LoadImage(). Aplikace kapsle však může být načtena pomocí ověření specifického pro platformu vůči veřejnému klíči spouštěcí ROM nebo UEFI PK. Toto zatížení musí být stále měřeno v PCR TPM[7] stejně jako u všech ostatních imagí. Obecněji platí, že pokud je podepisování kapsle považováno za nezbytné (například k zajištění integrity a pravosti kompletního aktualizačního balíčku) a kapsle může obsahovat aktualizace firmwaru pro firmware mimo rozhraní UEFI, měla by být tobolka podepsána takovým způsobem, aby bylo možné ověřit pomocí klíčů uložených na platformě, které nejsou UEFI (například podepsané pomocí řetězení klíčů zpět k veřejnému klíči vázanému na spouštěcí ROM nebo UEFI PK).
Na ne-Arm systémech,
Kapsle může být EFI aplikací, za předpokladu, že je podepsaná klíčem, který se řetězí zpět k záznamu v povolené databázi UEFI.
Zabezpečené spouštění rozhraní UEFI pak lze automaticky využít k ověření integrity kapsle.
Windows neumožňuje balíčky aktualizací firmwaru podepsané systémem OEM Verisign, a to ani v testovacích prostředích. Musí být digitálně podepsané Microsoftem prostřednictvím portálu.
Aktualizujte firmware na zařízení SUT instalací balíčku aktualizace firmwaru.
Nainstalujte sadu Windows Hardware Lab Kit (HLK) do testovacího systému s PTP a spusťte všechny testy použitelné pro zařízení firmwaru. Odešlete protokoly HLK a balíček ovladače do Partnerského centra k podpisu.
Při odesílání balíčku ovladače aktualizace firmwaru nezapomeňte jako příslušný operační systém vybrat Windows 8 nebo novější. Pokud zvolíte operační systém nižší úrovně, partnerské centrum podepíše katalog v balíčku ovladačů pomocí algoritmu SHA1. Počínaje Systémem Windows 8 musí být všechny balíčky ovladačů aktualizace firmwaru podepsané pomocí algoritmu SHA256.
I když se nedoporučuje, je možné odeslat balíček Do Microsoftu bez prvního generování testovacích protokolů HLK (nebo zahrnutí testovacích protokolů HLK při odesílání). Použijte Vytvoření podpisu ovladače pro podepisování ovladačů bez záznamu z HLK testu nebo pro testování ověření.
Požadavek na podepisování ovladačů bez protokolů testu HLK spočívá v tom, že ovladač je odeslán ve formátu CAB.
In-box Makecab.exe umožňuje uživateli vytvořit soubor CAB. I když jsou k dispozici další nástroje (například Cabarch.exe), jsou někdy obtížnější najít a nezahrnou se do pole.
Klíčem je zajistit, aby složka, která obsahuje ovladač, byla také součástí souboru CAB. Balíček ovladačů může mít například strukturu podobnou následující:
C:\Desktop
\DriverFolderOne
Driver.inf
Driver.sys
Pokud budete postupovat podle tohoto formátu, mělo by odeslání proběhnout. Pokud chcete potvrdit, že se nadřazená složka dostala do souboru CAB, otevřete soubor CAB v Průzkumníku Windows a přepněte zobrazení na Podrobnosti. Bude tam sloupec Cesta , který by neměl být prázdný.
Související prostředky
Vytvoření balíčku aktualizace firmwaru
Certifikace a podepsání balíčku aktualizace
Základy zařízení: Požadavky na testování spolehlivosti
Aktualizace zásad podepisování ca UEFI od Microsoftu
Zobrazení výsledků testů a souborů protokolu
Vytvoření balíčku pro odeslání
aktualizace firmwaru systému a zařízení prostřednictvím balíčku ovladače firmwaru
Řešení potíží se základy testování spolehlivosti zařízení pomocí sady Windows HLK
Blog o certifikaci hardwaru pro Windows
Platforma aktualizace firmwaru UEFI pro Windows
definice tabulky ESRT