Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Ovladače musí být před odesláním na hardwarový řídicí panel podepsány certifikátem. Vaše organizace může přidružit libovolný počet certifikátů ke svému účtu řídicího panelu a každý z vašich odeslání musí být podepsaný některým z těchto certifikátů. Neexistuje žádné omezení počtu certifikátů (rozšířeného ověřování (EV) i standardu přidruženého k vaší organizaci.
Tento článek obsahuje obecné informace o typech podepisování kódu, které jsou k dispozici pro ovladače, a související požadavky pro tyto ovladače.
Podrobnější informace o požadavcích na podepisování ovladačů najdete na následujících stránkách:
- Změny podepisování ovladačů v systému Windows 10
- Změny podepisování ovladačů ve Windows 10 verze 1607
- Aktualizace požadavku na certifikát SYSDev EV
Kde získat podpisové certifikáty kódu EV
Podpisové certifikáty EV kódu je možné zakoupit od některého z následujících certifikačních autorit:
- podpisový certifikát kódu CERtum EV
- podpisový certifikát kódu DigiCert EV
- GlobalSign EV certifikát pro podpis kódu
- IdenTrust EV podpisový certifikát kódu
- Sectigo (dříve Comodo) certifikát EV pro podepisování kódu
- SSL.com certifikát pro podepisování kódu EV
Ovladače podepsané certifikátem EV
Aby bylo možné odesílat binární soubory k podepisování ověření identity nebo k odesílání binárních souborů pro certifikaci HLK, musí mít váš účet řídicího panelu Hardware Dev Center přidružený alespoň jeden certifikát EV.
Platí následující pravidla:
- Váš registrovaný certifikát EV musí být platný v době odeslání.
- Microsoft sice důrazně doporučuje podepisovat jednotlivá odeslání pomocí certifikátu EV, ale můžete také podepisovat odeslání podpisovým certifikátem Authenticode, který je také zaregistrovaný ve vašem účtu Partnerského centra.
- Všechny certifikáty musí být SHA2 a podepsané přepínačem příkazového
/fd sha256řádku SignTool.
Pokud už máte schválený certifikát EV od certifikační autority, můžete ho použít k vytvoření účtu Partnerského centra. Pokud certifikát EV nemáte, vyberte jednu z certifikačních autorit a postupujte podle jejich pokynů k nákupu.
Jakmile certifikační autorita ověří vaše kontaktní údaje a schválí se váš nákup certifikátu, postupujte podle jejich pokynů k získání certifikátu.
Testované ovladače HLK a podepsané ovladače řídicího panelu
Ovladač podepsaný řídicím panelem, který prošl testy HLK, funguje ve Windows Vista a novějších verzích, včetně edicí Windows Serveru. Testování HLK je doporučená metoda podepisování ovladačů, protože podepíše ovladač pro všechny verze operačního systému. Testované ovladače HLK ukazují, že výrobce pečlivě testuje hardware tak, aby splňoval všechny požadavky Microsoftu týkající se spolehlivosti, zabezpečení, efektivity výkonu, použitelnosti a výkonu, aby poskytoval skvělé prostředí Windows. Testování zahrnuje dodržování oborových standardů a dodržování specifikací Microsoftu pro funkce specifické pro technologie, což pomáhá zajistit správnou instalaci, nasazení, připojení a interoperabilitu. Informace o vytvoření ovladače otestovaného pomocí HLK pro potřeby odeslání do panelu najdete v tématu Začínáme s Windows HLK.
Podepsané ovladače ověření identity windows 10 pro testovací scénáře
Instalace zařízení s Windows používá digitální podpisy k ověření integrity balíčků ovladačů a identity vydavatele softwaru, který poskytuje balíčky ovladačů.
Pouze pro účely testování můžete odeslat ovladače k podepsání certifikace, což nevyžaduje testování HLK.
Podepisování pověření má následující požadavky a omezení:
Ovladače podepsané ověřením není možné publikovat ve službě Windows Update pro maloobchodní cílové skupiny. Pokud chcete publikovat ovladač do služby Windows Update pro maloobchodní cílové skupiny, musíte ovladač odeslat prostřednictvím programu WHCP (Windows Hardware Compatibility Program). Publikování ovladačů podepsaných s ověřením ve službě Windows Update pro účely testování je podporováno výběrem možnosti CoDev nebo Test Registry Key / Surface SSRK.
Podepisování ověření identity funguje jenom ve Windows 10 Desktopu a novějších verzích Windows.
Podepisování důvěryhodnosti podporuje ovladače režimu jádra a uživatelského režimu na Windows 10 Desktop. I když ovladače uživatelského režimu nemusí být podepsány společností Microsoft pro Windows 10, stejný proces ověření identity lze použít pro ovladače uživatelského i jádra režimu. U ovladačů, které musí běžet v předchozích verzích Windows, byste měli odeslat testovací protokoly HLK/HCK pro certifikaci Windows.
Podepisování atestací nevrací správnou úroveň PE pro binární soubory ELAM nebo Windows Hello PE. Tyto binární soubory musí být testovány a odeslány jako balíčky .hlkx pro příjem atributů dodatečného podpisu.
Podepisování osvědčení vyžaduje použití certifikátu rozšířeného ověření (EV) k odeslání ovladače do Centra pro partnery (nástěnka pro vývoj hardwaru).
Digitální podepisování vyžaduje, aby názvy složek ovladačů neobsahovaly žádné speciální znaky, žádné cesty ke sdílené složce UNC a měly méně než 40 znaků.
Když ovladač obdrží attestační podpis, není certifikován pro Windows. Podpis ověření identity od Microsoftu označuje, že ovladač je důvěryhodný systémem Windows. Vzhledem k tomu, že ovladač nebyl testován v HLK Studiu, neexistují žádné záruky týkající se kompatibility, funkčnosti atd. Ovladač, který přijímá ověřování podpisem, nelze zveřejnit pro maloobchodní zákazníky prostřednictvím služby Windows Update. Pokud chcete ovladač publikovat do maloobchodních cílových skupin, musíte ovladač odeslat prostřednictvím programu WHCP (Windows Hardware Compatibility Program).
DUA (Driver Update Acceptable) nepodporuje ovladače podepsané pomocí attestace.
Následující úrovně PE a binární soubory je možné zpracovat prostřednictvím ověření identity:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .DLL
- .ocx
- .msi
- .xpi
- .xap
Informace o tom, jak vytvořit ovladač podepsaný atestací pro ovladače pro Windows 10 a novější, najdete v tématu Podpis atestace ovladačů pro Windows 10 a novější.
Podepsané ovladače Windows Serveru
- Windows Server 2016 a novější nepřijme odeslání otestovaných zařízení a filtrování podpisů ovladačů.
- Ovládací panel podepíše pouze ovladače pro zařízení a filtry, které úspěšně projdou testy HLK.
- Windows Server 2016 a větší načte jenom ovladače podepsané řídicím panelem, které úspěšně projdou testy HLK.
Řízení aplikací v programu Windows Defender
Podniky můžou implementovat zásadu pro úpravu požadavků na podepisování ovladačů pomocí edice Windows 10 Enterprise. Windows Defender Application Control (WDAC) poskytuje zásady integrity kódu definované podnikem, které je možné nakonfigurovat tak, aby vyžadovaly aspoň ovladač podepsaný ověřením identity. Další informace o nástroji WDAC naleznete v tématu Plánování a začínáme s procesem nasazení řízení aplikací v programu Windows Defender.
Požadavky na podepisování ovladačů systému Windows
Následující tabulka shrnuje požadavky na podepisování ovladačů pro Windows:
| Verze | Podepsaný ověřovací řídicí panel | Test HLK prošel, panel kontrol byl podepsán | Křížové podepsání pomocí certifikátu SHA-1 vydaného před 29. červencem 2015 |
|---|---|---|---|
| Windows Vista | Ne | Ano | Ano |
| Windows 7 | Ne | Ano | Ano |
| Windows 8 / 8.1 | Ne | Ano | Ano |
| Windows 10 | Ano | Ano | Ne (od Windows 10 1809) |
| Windows 10 – DG povoleno | *Závislý na konfiguraci | *Závislý na konfiguraci | *Závislý na konfiguraci |
| Windows Server 2008 R2 | Ne | Ano | Ano |
| Windows Server 2012 R2 | Ne | Ano | Ano |
| Windows Server >= 2016 | Ne | Ano | Ano |
| Windows Server >= 2016 – Povolen DG | *Závislý na konfiguraci | *Závislý na konfiguraci | *Závislý na konfiguraci |
| Windows IoT Enterprise | Ano | Ano | Ano |
| Windows IoT Enterprise – DG povoleno | *Závislý na konfiguraci | *Závislý na konfiguraci | *Závislý na konfiguraci |
| Windows IoT Core(1) | Ano (nepožaduje se) | Ano (nepožaduje se) | Ano (křížové podepisování bude fungovat také pro certifikáty vydané po 29. červenci 2015) |
*Závislé na konfiguraci – s edicí Windows 10 Enterprise můžou organizace definovat vlastní požadavky na podepisování pomocí nástroje Windows Defender Application Control (WDAC). Další informace o nástroji WDAC naleznete v tématu Plánování a začínáme s procesem nasazení řízení aplikací v programu Windows Defender.
(1) Podepisování ovladačů je vyžadováno pro výrobce, kteří vytvářejí maloobchodní produkty (tj. pro jiné než vývojové účely) s IoT Core. Seznam schválených certifikačních autorit (CA) najdete v tématu Křížové certifikáty pro podepisování kódu v režimu jádra. Pokud je povolené zabezpečené spouštění rozhraní UEFI, musí být ovladače podepsané.