Desuso de certificados de publicador de software, certificados de versión comercial y certificados de prueba comercial
Precaución
La mayoría de los certificados cruzados expiraron en julio de 2021. No puede usar certificados de firma de código que encadenan a certificados cruzados expirados para crear nuevas firmas digitales en modo kernel para cualquier versión de Windows.
El programa raíz de confianza de Microsoft ya no admite certificados raíz que tengan funcionalidades de firma en modo kernel.
Para conocer los requisitos de directiva, consulta Requisitos de firma de código en modo kernel de Windows 10.
Los certificados raíz firmados cruzados existentes con funcionalidades de firma de código en modo kernel seguirán funcionando hasta la expiración. Todos los certificados de publicador de software, los certificados de versión comercial y los certificados de prueba comercial que se encadenan a estos certificados raíz también no son válidos según la misma programación.
Para firmar el controlador, primero regístrese en el programa Centro de desarrollo de hardware de Windows.
Preguntas más frecuentes
- ¿Cuál es la programación de expiración de los certificados cruzados de confianza?
- ¿Qué alternativas a los certificados firmados cruzados están disponibles para probar los controladores?
- ¿Qué ocurrirá con los paquetes de controladores firmados existentes?
- ¿Hay alguna manera de ejecutar paquetes de controladores de producción sin exponerlos a Microsoft?
- ¿Es necesario volver a enviar cada nueva versión del paquete de controladores al Centro de desarrollo de hardware?
- ¿Seguiremos pudiendo firmar código que no sea de controlador con nuestros certificados emitidos por terceros existentes después de 2021?
- ¿Puedo seguir usando mi certificado EV para firmar envíos al Centro de desarrollo de hardware?
- Cómo saber si mi certificado de firma se verá afectado por estas expiraciones?
- ¿Cómo podemos automatizar la firma de pruebas de Microsoft para trabajar con nuestros procesos de compilación?
- A partir de 2021, ¿Microsoft será el único proveedor de firmas de código del modo kernel de producción?
- El Centro de desarrollo de hardware no proporciona firma de controladores para Windows XP, ¿cómo puedo hacer que mis controladores se ejecuten en XP?
- ¿Cómo difieren las opciones de firma de producción según la versión de Windows?
¿Cuál es la programación de expiración de los certificados cruzados de confianza?
La mayoría de los certificados raíz firmados cruzados expiraron en 2021, según la programación siguiente:
Nombre común | Fecha de expiración |
---|---|
VeriSign Class 3 Public Primary Certification Authority - G5 | 2/22/2021 |
thawte Primary Root CA | 2/22/2021 |
GeoTrust Primary Certification Authority | 2/22/2021 |
Entidad de certificación principal de GeoTrust- G3 | 2/22/2021 |
thawte Primary Root CA - G3 | 2/22/2021 |
VeriSign Universal Root Certification Authority | 2/22/2021 |
TC TrustCenter Class 2 CA II | 4/11/2021 |
COMODO RSA Certification Authority | 4/11/2021 |
UTN-USERFirst-Object | 4/11/2021 |
Ca raíz del identificador garantizado de DigiCert | 15/4/2021 |
DigiCert High Assurance EV Root CA | 15/4/2021 |
DigiCert Global Root CA | 15/4/2021 |
Entrust.net Certification Authority (2048) | 15/4/2021 |
GlobalSign Root CA | 15/4/2021 |
Go Daddy Root Certificate Authority - G2 | 15/4/2021 |
Entidad de certificación raíz de Starfield: G2 | 15/4/2021 |
NetLock Arany (Clase Gold) Fotanúsítvány | 15/4/2021 |
NetLock Arany (Clase Gold) Fotanúsítvány | 15/4/2021 |
NetLock Platina (Clase Platinum) Fotanúsítvány | 15/4/2021 |
Security Communication RootCA1 | 15/4/2021 |
Entidad de certificación StartCom | 15/4/2021 |
Entidad de certificación de red de confianza de Certum | 15/4/2021 |
Entidad de certificación COMODO ECC | 4/11/2021 |
¿Qué alternativas a los certificados firmados cruzados están disponibles para probar controladores?
Para todas las opciones siguientes, la opción de arranque TESTSIGNING debe estar habilitada.
Para probar los controladores en el arranque, consulta Cómo instalar un controlador firmado por prueba necesario para el programa de instalación y el arranque de Windows.
Para obtener más información, consulta Firma de controladores durante el desarrollo y la prueba.
¿Qué ocurrirá con los paquetes de controladores firmados existentes?
Siempre que los paquetes de controladores estén marca de tiempo antes de la fecha de expiración del certificado de firma hoja, seguirán funcionando.
¿Hay alguna manera de ejecutar paquetes de controladores de producción sin exponerlos a Microsoft?
No, todos los paquetes de controladores de producción deben enviarse a y estar firmados por Microsoft.
¿Microsoft debe firmar todas las nuevas versiones de producción de un paquete de controladores?
Sí, cada vez que se vuelve a generar un paquete de controladores de nivel de producción, Microsoft debe firmarlo.
¿Seguiremos pudiendo firmar código que no sea de controlador con nuestros certificados emitidos por terceros existentes después de 2021?
Sí, estos certificados seguirán funcionando hasta que expiren. El código firmado con estos certificados solo podrá ejecutarse en modo de usuario y no podrá ejecutarse en el kernel, a menos que tenga una firma válida de Microsoft.
¿Puedo seguir usando mi certificado EV para firmar envíos al Centro de desarrollo de hardware?
Sí, los certificados EV seguirán funcionando hasta que expiren. Si firma un controlador en modo kernel con un certificado EV después de la expiración del certificado cruzado que emitió ese certificado EV, el controlador resultante no se cargará, ejecutará ni instalará.
Cómo saber si mi certificado de firma se verá afectado por estas expiraciones?
Si la cadena entre certificados termina en Microsoft Code Verification Root
, el certificado de firma se ve afectado.
Para ver la cadena de certificados cruzados, ejecute signtool verify /v /kp <mydriver.sys>
. Por ejemplo:
¿Cómo podemos automatizar la firma de pruebas de Microsoft para trabajar con nuestros procesos de compilación?
Los procesos de compilación pueden llamar a la API del Centro de desarrollo de hardware.
Para obtener ejemplos que muestran el uso, consulta el repositorio de Surface Dev Center Manager .
A partir de 2021, ¿Microsoft será el único proveedor de firmas de código del modo kernel de producción?
Sí.
El Centro de desarrollo de hardware no proporciona firma de controladores para Windows XP, ¿cómo puedo hacer que mis controladores se ejecuten en XP?
Los controladores todavía se pueden firmar con un certificado de firma de código emitido por terceros. Sin embargo, el certificado que firmó el controlador debe importarse en el Local Computer Trusted Publishers
almacén de certificados del equipo de destino. Consulte Almacén de certificados de editores de confianza para obtener más información.
¿Cómo difieren las opciones de firma de producción en función de la versión de Windows?
Advertencia
La firma cruzada ya no se acepta para la firma de controladores. El uso de certificados cruzados para firmar controladores en modo kernel es una infracción de la directiva del Programa raíz de confianza (TRP) de Microsoft. El TRP ya no admite certificados raíz que tengan funcionalidades de firma en modo kernel. La ENTIDAD de certificación revocará los certificados que infringen las directivas de TRP de Microsoft.
Si el controlador se ejecuta en Windows 7, 8 o 8.1, el controlador debe estar firmado mediante el Programa de compatibilidad de hardware de Windows. Para empezar, consulte Creación de un nuevo envío de hardware.
Para Windows 10, usa WHCP o firma de atestación.
Si tiene dificultades para firmar el controlador con WHCP, informe de los detalles mediante uno de los siguientes procedimientos:
- Use el portal microsoft Collaborate, disponible a través del panel del Centro de partners de Microsoft, para crear un error de comentarios.
- Vaya al soporte técnico para desarrolladores de Windows, seleccione la pestaña Ponerse en contacto con nosotros y, en el cuadro Soporte técnico , junto a Desarrollo de controladores y pruebas/Certificación, seleccione Enviar un incidente.