Einführung in Test-Signing
Treiber sollten während der Entwicklung und des Tests aus den folgenden Gründen mit einer digitalen Signatur signiert werden:
Um die Installation zu vereinfachen und zu automatisieren.
Wenn ein Treiber nicht signiert ist, erfordert die Plug & Play(PnP)-Treiberinstallationsrichtlinie von Windows Vista und höheren Versionen von Windows, dass ein Systemadministrator die Installation eines nicht signierten Treibers manuell autorisiert und dem Installationsprozess einen zusätzlichen Schritt hinzufügt. Dieser zusätzliche Schritt kann sich negativ auf die Produktivität von Entwicklern und Testern auswirken. Diese Anforderung kann nicht außer Kraft gesetzt werden.
Um Kernelmodustreiber unter 64-Bit-Versionen von Windows Vista und höheren Versionen von Windows laden zu können.
Standardmäßig erfordert die Kernelmodus-Codesignaturrichtlinie für 64-Bit-Versionen von Windows Vista und höheren Versionen von Windows, dass ein Kernelmodustreiber signiert wird, damit der Treiber geladen wird. Diese Anforderung kann vorübergehend außer Kraft gesetzt werden, um die Entwicklung oder das Debuggen eines Treibers zu erleichtern.
Um bestimmte Arten von Premium-Inhalten der nächsten Generation wiederzugeben, müssen alle Kernelmoduskomponenten in Windows Vista und höheren Versionen von Windows signiert sein. Darüber hinaus müssen alle Benutzermodus- und Kernelmoduskomponenten im Geschützten Medienpfad (PMP) der PMP-Signaturrichtlinie entsprechen. Informationen zur PMP-Signaturrichtlinie finden Sie im Whitepaper Codesignatur für geschützte Medienkomponenten in Windows Vista.
Aus diesen Gründen sollten Treiber für Windows Vista und höhere Versionen von Windows mit einem digitalen Zertifikat, das mit Microsoft Authenticode erstellt wird, getestet werden. Ein solches digitales Zertifikat wird als Testzertifikat bezeichnet, und eine mit einem Testzertifikat generierte Signatur wird als Testsignatur bezeichnet.
Hinweis Windows Vista und höhere Versionen von Windows unterstützen testsignierte Treiber nur zu Entwicklungs- und Testzwecken. Testsignaturen dürfen nicht für Produktionszwecke verwendet oder für Kunden freigegeben werden.
Ein Entwicklungs- und Testteam kann am WHQL-Testsignaturprogramm teilnehmen, bei dem die Windows Hardware Quality Labs (WHQL) PnP-Treiberpakete zu Testzwecken signieren. Alternativ kann ein Entwicklungs- und Testteam seinen eigenen internen Signaturprozess verwalten und die folgenden Arten von Testzertifikaten verwenden, um Treiber zu testen:
MakeCert-Testzertifikat, bei dem es sich um ein digitales Zertifikat handelt, das vom MakeCert-Tool erstellt wurde.
Kommerzielles Testzertifikat, bei dem es sich um ein digitales Zertifikat handelt, das von einer Zertifizierungsstelle ausgestellt wird, die Mitglied des Microsoft-Stammzertifikatprogramms ist.
Testzertifikat der Unternehmenszertifizierungsstelle, bei dem es sich um ein digitales Zertifikat handelt, das von einer Unternehmenszertifizierungsstelle bereitgestellt wird.
Informationen dazu, wie ein Testteam ein Treiberpaket signiert, nachdem das Team ein Testzertifikat erstellt, abgerufen oder bereitgestellt hat, finden Sie unter Testsignaturtreiberpakete.
Informationen zum Installieren von Treiberpaketen, die testsigniert sind, finden Sie unter Installieren Test-Signed Treiberpakete.
Um die Frühe Entwicklung und das Debuggen von Treibern zu erleichtern, können Sie die Codesignaturanforderung im Kernelmodus vorübergehend deaktivieren, um einen nicht signierten Kernelmodustreiber zu laden und zu testen. Sie können die PnP-Treiberinstallationsrichtlinie jedoch nicht deaktivieren, die einen Systemadministrator erfordert, um die Installation eines nicht signierten Treibers zu autorisieren. Weitere Informationen zum Installieren eines nicht signierten Treibers finden Sie unter Installieren eines nicht signierten Treibers während der Entwicklung und des Tests.
Informationen zu den am besten geeigneten Tools zum Testen des Signierens von Treiberpaketen finden Sie unter Tools zum Signieren von Treibern.
Hinweis Um ein besseres Verständnis der Schritte zu erhalten, die beim Signieren von Treiberpaketen zum Testen verwendet werden, finden Sie unter How to Test-Sign a Driver Package (Test-Sign eines Treiberpakets). Dieses Thema enthält eine Zusammenfassung des Testsignaturprozesses und führt viele Beispiele für die Testsignatur mithilfe des ToastPkg-Beispieltreiberpakets im Windows Driver Kit (WDK) durch.