Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Attenzione
La maggior parte dei certificati incrociati è scaduta a luglio 2021. Non è possibile usare certificati di firma del codice concatenati con certificati incrociati scaduti per creare nuove firme digitali in modalità kernel per qualsiasi versione di Windows.
Microsoft Trusted Root Program non supporta più i certificati radice con funzionalità di firma in modalità kernel.
Per i requisiti dei principi di sicurezza, vedere [Requisiti di firma del codice in modalità kernel di Windows 10] (/security/trusted-root/program-requirements#f-windows-10-kernel-mode-code-signing-kmcs-requirements).
I certificati radice con firma incrociata esistenti con funzionalità di firma del codice in modalità kernel continuano a funzionare fino alla scadenza. Anche tutti i certificati dell'editore software, i certificati di rilascio commerciale e i certificati di test commerciali che si ricollegano a questi certificati radice diventano non validi nello stesso calendario.
Per ottenere la firma del driver, eseguire prima di tutto la registrazione per il programma Windows Hardware Dev Center.
Domande frequenti
Come è possibile trovare la pianificazione di scadenza dei certificati incrociati attendibili?
Esistono alternative ai certificati con firma incrociata per i driver di test?
Esiste un modo per eseguire pacchetti driver di produzione senza esponerlo a Microsoft?
Ogni nuova versione di produzione di un pacchetto driver richiede una firma Microsoft?
È possibile firmare il codice nondriver con certificati esistenti rilasciati da terze parti?
Posso continuare a usare il certificato EV per firmare gli invii a Hardware Dev Center?
Come è possibile sapere se le scadenze pianificate possono influire sul certificato di firma?
Microsoft è l'unico provider di firme di codice in modalità kernel di produzione?
In che modo le opzioni di firma di produzione differiscono per la versione di Windows?
Come è possibile trovare la pianificazione di scadenza dei certificati incrociati attendibili?
Tutti i certificati radice attendibili con firma incrociata sono ora scaduti.
Esistono alternative ai certificati con firma incrociata per il test dei driver?
Sono disponibili le procedure seguenti. Per tutti i metodi, è necessario abilitare l'opzione di avvio TESTSIGNING .
- Processo di test di MakeCert
- Programma di firma di test di Windows Hardware Quality Labs (WHQL)
- Certificato di test dell'autorità di certificazione aziendale
Per i test dei driver all'avvio, vedere Come installare un driver con firma di test necessaria per l'installazione e l'avvio di Windows.
Per altre informazioni, vedere Introduzione alla firma dei driver durante le fasi di sviluppo e test.
Come influiscono i pacchetti driver firmati esistenti?
Finché i pacchetti driver vengono contrassegnati temporalmente prima della data di scadenza del certificato di firma intermedio, i pacchetti continuano a funzionare.
Esiste un modo per eseguire pacchetti driver di produzione senza esponerlo a Microsoft?
No, tutti i pacchetti driver di produzione devono essere inviati e firmati da Microsoft.
Ogni nuova versione di produzione di un pacchetto driver richiede una firma Microsoft?
Sì, ogni volta che viene ricompilato un pacchetto driver a livello di produzione, Microsoft deve firmare il pacchetto.
È possibile firmare il codice nondriver con certificati esistenti rilasciati da terze parti?
Sì, questi certificati continuano a funzionare fino alla scadenza. Il codice firmato con questi certificati viene eseguito solo in modalità utente, a meno che non abbia una firma Microsoft valida.
Posso continuare a usare il certificato EV per firmare gli invii a Hardware Dev Center?
Sì, i certificati di convalida estesa (EV) continuano a funzionare fino alla scadenza. Se si firma un driver in modalità kernel con un certificato EV dopo la scadenza del certificato incrociato emittente, il driver risultante non viene caricato, eseguito o installato.
Come è possibile sapere se le scadenze pianificate possono influire sul certificato di firma?
Se la catena di certificati incrociati termina con Microsoft Code Verification Root, il tuo certificato di firma è coinvolto.
Per visualizzare la catena di certificati incrociati, eseguire il signtool verify /v /kp <mydriver.sys> comando . Per esempio:
Screenshot che mostra l'output del comando dello strumento Sign Tool che identifica una catena di certificati incrociati.
Come è possibile automatizzare la firma dei test Microsoft per lavorare con i processi di compilazione dell'organizzazione?
I processi di compilazione possono chiamare l'API di Hardware Dev Center.
Per esempi che mostrano l'utilizzo, vedi il repository di Surface Dev Center Manager (SDCM) su GitHub.
Microsoft è l'unico fornitore di firme di codice per la modalità kernel in produzione?
Sì.
Come è possibile eseguire i driver in Windows XP quando Hardware Dev Center non fornisce la firma del driver?
I driver possono comunque essere firmati con un certificato di firma del codice rilasciato da terze parti. Tuttavia, il certificato che ha firmato il driver deve essere importato nell'archivio Local Computer Trusted Publishers certificati nel computer di destinazione. Per altre informazioni, vedere Archivio certificati autori attendibili.
In che modo le opzioni di firma di produzione differiscono per la versione di Windows?
Avvertimento
La firma incrociata non è più accettata per la firma dei driver. L'uso di certificati incrociati per firmare i driver in modalità kernel è una violazione dei criteri microsoft Trusted Root Program (TRP). TRP non supporta più i certificati radice con funzionalità di firma in modalità kernel. I certificati in violazione dei criteri Microsoft TRP verranno revocati dalla CA.
Se il driver viene eseguito in Windows 7, 8 o 8.1, il driver deve essere firmato tramite windows Hardware Compatibility Program. Per iniziare, vedere Creare un nuovo invio hardware.
A partire da Windows 10, usa Windows Hardware Compatibility Program (WHCP) o la firma di attestazione.
In caso di problemi di firma del driver con WHCP, segnalare le specifiche usando una delle opzioni seguenti:
Usare il portale Microsoft Collaborate disponibile tramite il dashboard del Centro per i partner Microsoft e creare un bug di feedback.
Passare al supporto per sviluppatori Windows e selezionare la scheda Contattaci . Nella casella Supporto tecnico , accanto a Sviluppo driver e test/certificazione, selezionare Invia un evento imprevisto.