Exigences de signature de code du pilote
Vos pilotes doivent être signés avec un certificat avant de les soumettre au tableau de bord matériel. Votre organisation peut associer n’importe quel nombre de certificats à son compte de tableau de bord, et chacune de vos soumissions doit être signée avec l’un de ces certificats. Il n’existe aucune restriction sur le nombre de certificats (à validation étendue (EV) et Standard) associés à votre organisation.
Cet article fournit des informations générales sur les types de signature de code disponibles pour vos pilotes et les exigences associées à ces pilotes.
Pour plus d’informations sur les exigences de signature de pilotes, consultez les pages suivantes :
- Modifications de signature de pilote dans Windows 10
- Modifications de signature de pilote dans Windows 10, version 1607
- Mise à jour sur l’exigence du certificat Sysdev EV
Où obtenir des certificats de signature de code
Les certificats de signature de code peuvent être achetés auprès de l’une des autorités de certification suivantes :
- Certificat de signature de code DigiCert
- Certificat de signature de code Entrust
- Certificat de signature de code GlobalSign
- Certificat de signature de code SSL.com
Pilotes signés par certificat EV
Votre compte de tableau de bord Centre de développement matériel doit avoir au moins un certificat EV associé à celui-ci pour envoyer des fichiers binaires pour la signature d’attestation ou envoyer des fichiers binaires pour la certification HLK.
Les règles suivantes s’appliquent :
- Votre certificat EV enregistré doit être valide au moment de la soumission.
- Bien que Microsoft vous recommande vivement de signer des soumissions individuelles avec un certificat EV, vous pouvez également signer des soumissions avec un certificat de signature Authenticode qui est également inscrit dans votre compte Espace partenaires.
- Tous les certificats doivent être SHA2 et signés avec le commutateur de ligne de commande SignTool
/fd sha256.
Si vous disposez déjà d’un certificat EV approuvé auprès d’une autorité de certification, vous pouvez l’utiliser pour établir un compte Espace partenaires. Si vous n’avez pas de certificat EV, choisissez l’une des autorités de certification et suivez leurs instructions d’achat.
Une fois que l’autorité de certification vérifie vos coordonnées et que votre achat de certificat est approuvé, suivez leurs instructions pour récupérer le certificat.
Pilotes HLK testés et signés via le tableau de bord
Un pilote signé de tableau de bord qui a réussi les tests HLK fonctionne sur Windows Vista et versions ultérieures, y compris les éditions de Windows Server. Le test HLK est la méthode recommandée pour la signature de pilotes, car il signe un pilote pour toutes les versions du système d’exploitation. Les pilotes testés HLK montrent qu’un fabricant teste rigoureusement son matériel pour répondre à toutes les exigences de Microsoft en matière de fiabilité, de sécurité, d’efficacité de l’alimentation, de facilité de service et de performances, pour offrir une expérience Windows exceptionnelle. Les tests incluent la conformité aux normes du secteur et l’adhésion aux spécifications Microsoft pour les fonctionnalités spécifiques à la technologie, ce qui permet de garantir l’installation, le déploiement, la connectivité et l’interopérabilité corrects. Pour savoir comment créer un pilote testé HLK pour votre soumission de tableau de bord, consultez Prise en main de Windows HLK.
Pilotes signés par attestation Windows 10 pour les scénarios de test
L’installation de l’appareil Windows utilise des signatures numériques pour vérifier l’intégrité des packages de pilotes et l’identité de l’éditeur de logiciels qui fournit les packages de pilotes.
À des fins de test uniquement, vous pouvez soumettre vos pilotes pour la signature d’attestation, ce qui ne nécessite pas de test HLK.
La signature d’attestation présente les restrictions et exigences suivantes :
Les pilotes signés d’attestation ne peuvent pas être publiés sur Windows Update pour les audiences commerciales. Pour publier un pilote sur Windows Update pour publics de vente au détail, vous devez soumettre votre pilote via le Programme de compatibilité matérielle Windows (WHCP). La publication de pilotes signés par attestation dans Windows Update à des fins de test est prise en charge par la sélection des options CoDev ou Test Registry Key / Surface SSRK.
La signature d’attestation fonctionne uniquement sur Windows 10 Desktop et les versions ultérieures de Windows.
La signature d’attestation prend en charge le mode noyau windows 10 Desktop et les pilotes en mode utilisateur. Bien que les pilotes en mode utilisateur n’aient pas besoin d’être signés par Microsoft pour Windows 10, le même processus d’attestation peut être utilisé pour les pilotes en mode utilisateur et noyau. Pour les pilotes qui doivent s’exécuter sur les versions précédentes de Windows, vous devez soumettre les journaux de test HLK/HCK pour la certification Windows.
La signature d’attestation ne retourne pas le niveau PE approprié pour les fichiers binaires ELAM ou Windows Hello PE. Ces fichiers binaires doivent être testés et envoyés en tant que packages .hlkx pour recevoir les attributs de signature supplémentaires.
La signature d’attestation nécessite l’utilisation d’un certificat à validation étendu (EV) pour envoyer le pilote à l’Espace partenaires (tableau de bord Centre de développement matériel).
La signature d’attestation nécessite que les noms de dossiers de pilotes ne contiennent aucun caractère spécial, aucun chemin d’accès de partage de fichiers UNC et qu’ils soient inférieurs à 40 caractères.
Lorsqu’un pilote reçoit la signature d’attestation, il n’est pas certifié par Windows. Une signature d’attestation de Microsoft indique que le pilote est approuvé par Windows. Toutefois, étant donné que le pilote n’a pas été testé dans HLK Studio, il n’existe aucune garantie concernant la compatibilité, les fonctionnalités, et ainsi de suite. Un pilote qui reçoit la signature d’attestation ne peut pas être publié pour les audiences commerciales via Windows Update. Si vous souhaitez publier votre pilote pour des publics de vente au détail, vous devez soumettre votre pilote via le Programme de compatibilité matérielle Windows (WHCP).
DUA (Driver Update Acceptable) ne prend pas en charge les pilotes signés à l’aide de l’attestation.
Les niveaux et fichiers binaires PE suivants peuvent être traités par le biais de l’attestation :
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .xpi
- .xap
Pour plus d’informations sur la création d’un pilote signé par attestation pour les pilotes Windows 10+, consultez Pilotes Windows 10+ signés par attestation.
Pilotes signés Windows Server
- Windows Server 2016 et versions ultérieures n’acceptent pas les soumissions de signature de pilotes et d’appareils attestés.
- Le tableau de bord signe uniquement les pilotes de périphérique et de filtre qui réussissent les tests HLK.
- Windows Server 2016 et ultérieur charge uniquement les pilotes signés de tableau de bord qui réussissent les tests HLK.
Windows Defender Application Control
Les entreprises peuvent implémenter une stratégie pour modifier les exigences de signature de pilote à l’aide de Windows 10 Entreprise édition. Windows Defender Application Control (WDAC) fournit une stratégie d’intégrité du code définie par l’entreprise, qui peut être configurée pour exiger au moins un pilote signé par attestation. Pour plus d’informations sur WDAC, consultez Planification et prise en main du processus de déploiement de Windows Defender Application Control.
Configuration requise pour la signature de pilotes Windows
Le tableau suivant récapitule les exigences de signature de pilote pour Windows :
| Version | Tableau de bord d’attestation signé | Tableau de bord de passage du test HLK signé | Signé par signature croisée à l’aide d’un certificat SHA-1 émis avant le 29 juillet 2015 |
|---|---|---|---|
| Windows Vista | Non | Oui | Oui |
| Windows 7 | Non | Oui | Oui |
| Windows 8 / 8.1 | Non | Oui | Oui |
| Windows 10 | Oui | Oui | Non (à partir de Windows 10 1809) |
| Windows 10 - DG activé | *Dépend de la configuration | *Dépend de la configuration | *Dépend de la configuration |
| Windows Server 2008 R2 | Non | Oui | Oui |
| Windows Server 2012 R2 | Non | Oui | Oui |
| Windows Server >= 2016 | Non | Oui | Oui |
| Windows Server >= 2016 – DG activé | *Dépend de la configuration | *Dépend de la configuration | *Dépend de la configuration |
| Windows IoT Entreprise | Oui | Oui | Oui |
| Windows IoT Enterprise - DG activé | *Dépend de la configuration | *Dépend de la configuration | *Dépend de la configuration |
| Windows IoT Core(1) | Oui (Non requis) | Oui (Non requis) | Oui (La signature croisée fonctionne également pour les certificats émis après le 29 juillet 2015) |
*Dépend de la configuration : avec Windows 10 édition Entreprise, les organisations peuvent utiliser Windows Defender Application Control (WDAC) pour définir des exigences de signature personnalisées. Pour plus d’informations sur WDAC, consultez Planification et prise en main du processus de déploiement de Windows Defender Application Control.
(1) La signature de pilotes est requise pour les fabricants qui créent des produits de vente au détail (c’est-à-dire, à des fins non développées) avec IoT Core. Pour obtenir la liste des autorités de certification approuvées, consultez Certificats croisés pour la signature de code en mode noyau. Si le démarrage sécurisé UEFI est activé, les pilotes doivent être signés.