Persyaratan penandatanganan kode driver
Driver Anda harus ditandatangani dengan sertifikat sebelum Anda mengirimkannya ke dasbor perangkat keras. Organisasi Anda dapat mengaitkan sejumlah sertifikat dengan akun dasbornya, dan masing-masing pengiriman Anda harus ditandatangani dengan salah satu sertifikat tersebut. Tidak ada batasan jumlah sertifikat (validasi diperpanjang (EV) dan Standar) yang terkait dengan organisasi Anda.
Artikel ini menyediakan informasi umum tentang jenis penandatanganan kode yang tersedia untuk driver Anda, dan persyaratan terkait untuk driver tersebut.
Untuk informasi selengkapnya tentang persyaratan penandatanganan driver, lihat halaman berikut:
- Perubahan Penandatanganan Driver di Windows 10
- Perubahan Penandatanganan Driver di Windows 10, versi 1607
- Pembaruan persyaratan Sertifikat Sysdev EV
Tempat mendapatkan sertifikat penandatanganan kode
Sertifikat penandatanganan kode dapat dibeli dari salah satu otoritas sertifikat berikut:
- Sertifikat penandatanganan kode DigiCert
- Mempercayakan sertifikat penandatanganan kode
- Sertifikat penandatanganan kode GlobalSign
- SSL.com sertifikat penandatanganan kode
Driver yang ditandatangani sertifikat EV
Akun dasbor Pusat Dev Perangkat Keras Anda harus memiliki setidaknya satu sertifikat EV yang terkait dengannya untuk mengirimkan biner untuk penandatanganan pengesahan atau untuk mengirimkan biner untuk sertifikasi HLK.
Aturan berikut ini akan berlaku:
- Sertifikat EV terdaftar Anda harus valid pada saat pengiriman.
- Meskipun Microsoft sangat menyarankan agar Anda menandatangani pengiriman individual dengan sertifikat EV, Anda dapat menandatangani pengiriman dengan sertifikat penandatanganan Authenticode yang juga terdaftar ke akun Pusat Mitra Anda.
- Semua sertifikat harus SHA2 dan ditandatangani dengan sakelar
/fd sha256baris perintah SignTool.
Jika Anda sudah memiliki sertifikat EV yang disetujui dari otoritas sertifikat, Anda dapat menggunakannya untuk membuat akun Pusat Mitra. Jika Anda tidak memiliki sertifikat EV, pilih satu otoritas sertifikat dan ikuti petunjuknya untuk pembelian.
Setelah otoritas sertifikat memverifikasi informasi kontak Anda dan pembelian sertifikat Anda disetujui, ikuti petunjuknya untuk mengambil sertifikat.
Driver yang diuji HLK dan ditandatangani dasbor
Driver bertanda tangan dasbor yang telah lulus tes HLK berfungsi pada Windows Vista dan yang lebih baru, termasuk edisi Windows Server. Pengujian HLK adalah metode yang direkomendasikan untuk penandatanganan driver, karena menandatangani driver untuk semua versi OS. Driver yang diuji HLK menunjukkan bahwa produsen secara ketat menguji perangkat keras mereka untuk memenuhi semua persyaratan Microsoft mengenai keandalan, keamanan, efisiensi daya, kemampuan servis, dan performa, untuk memberikan pengalaman Windows yang hebat. Pengujian mencakup kepatuhan terhadap standar dan kepatuhan industri dengan spesifikasi Microsoft untuk fitur khusus teknologi, membantu memastikan penginstalan, penyebaran, konektivitas, dan interoperabilitas yang benar. Untuk mempelajari cara membuat driver yang diuji HLK untuk pengiriman dasbor Anda, lihat Memulai Windows HLK.
Driver yang ditandatangani pengesahan Windows 10 untuk skenario pengujian
Penginstalan perangkat Windows menggunakan tanda tangan digital untuk memverifikasi integritas paket driver dan identitas penerbit perangkat lunak yang menyediakan paket driver.
Hanya untuk tujuan pengujian, Anda dapat mengirimkan driver untuk penandatanganan pengesahan, yang tidak memerlukan pengujian HLK.
Penandatanganan pengesahan memiliki batasan dan persyaratan berikut:
Driver yang ditandatangani pengesahan tidak dapat diterbitkan ke Windows Update untuk audiens ritel. Untuk menerbitkan driver ke Windows Update untuk audiens ritel, Anda harus mengirimkan driver Anda melalui Program Kompatibilitas Perangkat Keras Windows (WHCP). Menerbitkan driver yang ditandatangani pengesahan ke Windows Update untuk tujuan pengujian didukung dengan memilih opsi CoDev atau Uji Kunci Registri / Surface SSRK .
Penandatanganan pengesahan hanya berfungsi pada Windows 10 Desktop dan versi Windows yang lebih baru.
Penandatanganan pengesahan mendukung mode kernel Windows 10 Desktop dan driver mode pengguna. Meskipun driver mode pengguna tidak perlu ditandatangani oleh Microsoft untuk Windows 10, proses pengesahan yang sama dapat digunakan untuk driver mode pengguna dan kernel. Untuk driver yang perlu berjalan pada versi Windows sebelumnya, Anda harus mengirimkan log pengujian HLK/HCK untuk sertifikasi Windows.
Penandatanganan pengesahan tidak mengembalikan Tingkat PE yang tepat untuk biner ELAM atau Windows Hello PE. Biner ini harus diuji dan dikirimkan sebagai paket .hlkx untuk menerima atribut tanda tangan tambahan.
Penandatanganan pengesahan memerlukan penggunaan Sertifikat validasi diperpanjang (EV) untuk mengirimkan driver ke Pusat Mitra (Dasbor Pusat Dev Perangkat Keras).
Penandatanganan pengesahan mengharuskan nama folder driver tidak berisi karakter khusus, tidak ada jalur berbagi file UNC, dan panjangnya kurang dari 40 karakter.
Ketika driver menerima penandatanganan pengesahan, itu bukan Bersertifikat Windows. Tanda tangan pengesahan dari Microsoft menunjukkan bahwa driver dipercaya oleh Windows. Tetapi karena driver belum diuji di HLK Studio, tidak ada jaminan yang dibuat sekeliling kompatibilitas, fungsionalitas, dan sebagainya. Driver yang menerima penandatanganan pengesahan tidak dapat diterbitkan ke audiens ritel melalui Windows Update. Jika Anda ingin menerbitkan driver Anda ke audiens ritel, Anda harus mengirimkan driver Anda melalui Program Kompatibilitas Perangkat Keras Windows (WHCP).
DUA (Driver Update Acceptable) tidak mendukung driver yang ditandatangani menggunakan pengesahan.
Tingkat PE dan biner berikut dapat diproses melalui Pengesahan:
- PeTrust
- DrmLevel
- HAL
- .exe
- .taksi
- .dll
- .ocx
- .Msi
- .xpi
- .xap
Untuk informasi tentang cara membuat driver yang ditandatangani pengesahan untuk driver Windows 10+, lihat Pengandar Windows 10+ tanda pengesahan.
Pengandar bertanda tangan Windows Server
- Windows Server 2016 dan yang lebih besar tidak menerima pengiriman penandatanganan perangkat yang diuji dan filter driver.
- Dasbor hanya menandatangani perangkat dan driver filter yang berhasil lulus pengujian HLK.
- Windows Server 2016 dan yang lebih besar hanya memuat driver bertanda tangan dasbor yang berhasil melewati pengujian HLK.
Windows Defender Application Control
Perusahaan dapat menerapkan kebijakan untuk mengubah persyaratan penandatanganan driver menggunakan edisi Windows 10 Enterprise. Kontrol Aplikasi Pertahanan Windows (WDAC) menyediakan kebijakan integritas kode yang ditentukan perusahaan, yang dapat dikonfigurasi untuk memerlukan setidaknya driver yang ditandatangani pengesahan. Untuk informasi selengkapnya tentang WDAC, lihat Merencanakan dan memulai proses penyebaran Kontrol Aplikasi Pertahanan Windows.
Persyaratan penandatanganan driver Windows
Tabel berikut ini meringkas persyaratan penandatanganan driver untuk Windows:
| Versi | Dasbor Pengesahan Ditandatangani | Dasbor Lulus Uji HLK Ditandatangani | Ditandatangani silang menggunakan sertifikat SHA-1 yang dikeluarkan sebelum 29 Juli 2015 |
|---|---|---|---|
| Windows Vista | Tidak | Ya | Ya |
| Windows 7 | Tidak | Ya | Ya |
| Windows 8 / 8.1 | Tidak | Ya | Ya |
| Windows 10 | Ya | Ya | Tidak (pada Windows 10 1809) |
| Windows 10 - DG Diaktifkan | *Dependen Konfigurasi | *Dependen Konfigurasi | *Dependen Konfigurasi |
| Windows Server 2008 R2 | Tidak | Ya | Ya |
| Windows Server 2012 R2 | Tidak | Ya | Ya |
| Windows Server >= 2016 | Tidak | Ya | Ya |
| Windows Server >= 2016 – DG Diaktifkan | *Dependen Konfigurasi | *Dependen Konfigurasi | *Dependen Konfigurasi |
| Windows IoT Enterprise | Ya | Ya | Ya |
| Windows IoT Enterprise- DG Diaktifkan | *Dependen Konfigurasi | *Dependen Konfigurasi | *Dependen Konfigurasi |
| Windows IoT Core(1) | Ya (Tidak Diperlukan) | Ya (Tidak Diperlukan) | Ya (Penandatanganan silang juga akan berfungsi untuk sertifikat yang dikeluarkan setelah 29 Juli 2015) |
*Dependen konfigurasi – Dengan edisi Windows 10 Enterprise, organisasi dapat menggunakan Windows Defender Application Control (WDAC) untuk menentukan persyaratan penandatanganan kustom. Untuk informasi selengkapnya tentang WDAC, lihat Merencanakan dan memulai proses penyebaran Kontrol Aplikasi Pertahanan Windows.
(1) Penandatanganan driver diperlukan untuk produsen yang membangun produk ritel (yaitu, untuk tujuan nondevelopment) dengan IoT Core. Untuk daftar Otoritas Sertifikat (CA) yang disetujui, lihat Sertifikat Silang untuk Penandatanganan Kode Mode Kernel. Jika Boot Aman UEFI diaktifkan, driver harus ditandatangani.