Desuso de certificados de publicador de software, certificados de versión comercial y certificados de prueba comercial
Artículo
Precaución
La mayoría de los certificados cruzados caducaron en julio de 2021.
No puede usar certificados de firma de código encadenados a certificados cruzados caducados para crear nuevas firmas digitales en modo kernel para ninguna versión de Windows.
Los certificados raíz con firma cruzada existentes con funcionalidades de firma de código en modo kernel seguirán funcionando hasta que caduquen. Todos los certificados de publicador de software, los certificados de versión comercial y los certificados de prueba comercial encadenados a estos certificados raíz también dejarán de ser válidos en la misma fecha.
¿Qué ocurrirá con mis paquetes de controladores firmados existentes?
Siempre que los paquetes de controladores lleven la marca de tiempo antes de la fecha de caducidad del certificado de firma de hojas, seguirán funcionando.
¿Hay alguna manera de ejecutar paquetes de controladores de producción sin exponerlos a Microsoft?
No, todos los paquetes de controladores de producción deben enviarse y estar firmados por Microsoft.
¿Microsoft debe firmar cada nueva versión de producción de un paquete de controladores?
Sí, cada vez que se vuelve a generar un paquete de controladores de nivel de producción, Microsoft debe firmarlo.
¿Podemos firmar el código que no es de controlador con nuestros certificados emitidos por terceros existentes?
Sí, estos certificados seguirán funcionando hasta que caduquen. El código que se firma con estos certificados solo se ejecuta en modo de usuario, a menos que tenga una firma válida de Microsoft.
¿Puedo seguir usando mi certificado EV para firmar envíos al Centro de desarrollo de hardware?
Sí, los certificados EV seguirán funcionando hasta que caduquen. Si firma un controlador en modo kernel con un certificado EV después de la caducidad del certificado cruzado que emitió ese certificado EV, el controlador resultante no se cargará, ejecutará ni instalará.
¿Cómo puedo saber si mi certificado de firma se verá afectado por estas caducidades?
Si la cadena de certificados cruzados termina en Microsoft Code Verification Root, el certificado de firma se verá afectado.
Para ver la cadena de certificados cruzados, ejecute signtool verify /v /kp <mydriver.sys>. Por ejemplo:
¿Cómo podemos automatizar la firma de pruebas de Microsoft para que funcione con nuestros procesos de compilación?
¿Microsoft es el único proveedor de firmas de código en modo kernel de producción?
Sí.
El Centro de desarrollo de hardware no proporciona firma de controladores para Windows XP, ¿cómo puedo hacer que mis controladores se ejecuten en XP?
Los controladores se pueden seguir firmando con un certificado de firma de código emitido por terceros. Sin embargo, el certificado que firmó el controlador debe importarse al almacén de certificados de Local Computer Trusted Publishers del equipo de destino. Consulte Almacén de certificados de editores de confianza para obtener más información.
¿Cómo difieren las opciones de firma de producción en la versión de Windows?
Advertencia
La firma cruzada ya no se acepta para la firma de controladores. El uso de certificados cruzados para firmar controladores en modo kernel es una infracción de la directiva del Programa raíz de confianza (TRP) de Microsoft. El TRP ya no admite certificados raíz que tengan funcionalidades de firma en modo kernel.
La entidad de certificación revocará los certificados que infrinjan las directivas de TRP de Microsoft.
Si el controlador se ejecuta en Windows 7, 8 o 8.1, debe estar firmado a través del Programa de compatibilidad de hardware con Windows. Para empezar, consulte Creación de un nuevo envío de hardware.
Vaya a Soporte técnico para desarrolladores de Windows, seleccione la pestaña Contacto y, en el cuadro Soporte técnico, junto a Desarrollo de controladores y pruebas/certificación, seleccione Enviar un incidente.
Como administrador híbrido de Windows Server, integra los entornos de Windows Server con servicios de Azure y administra Windows Server en redes locales.