ソフトウェア発行元証明書、商用リリース証明書、および商用テスト証明書の廃止

  • [アーティクル]

注意事項

クロス証明書の大部分は 2021 年 7 月に期限切れになっています。 期限切れのクロス証明書にチェーンするコード署名証明書を使用して、Windows のバージョンに対して新しいカーネル モードのデジタル署名を作成することはできません。

Microsoft 信頼されたルート プログラムでは、カーネル モード署名機能を持つルート証明書はサポートされなくなりました。

ポリシー要件については、「 Windows 10 カーネル モードのコード署名要件」を参照してください。

カーネル モード コード署名機能を備えた既存 のクロス署名ルート証明書 は、有効期限が切れるまで引き続き動作します。 これらのルート証明書にチェーンバックするすべてのソフトウェア発行元証明書、商用リリース証明書、商用テスト証明書も、同じスケジュールで無効になります。

ドライバーの署名を取得するには、まず Windows ハードウェア デベロッパー センター プログラムに登録します。

よく寄せられる質問

信頼されたクロス証明書の有効期限スケジュールは何ですか?

クロス署名されたルート証明書の大部分は、次のスケジュールに従って 2021 年に期限切れになっています。

共通名 有効期限
VeriSign Class 3 Public Primary Certification Authority - G5 2/22/2021
プライマリ ルート CA の解凍 2/22/2021
GeoTrust Primary Certification Authority 2/22/2021
GeoTrust プライマリ証明機関 - G3 2/22/2021
thawte Primary Root CA - G3 2/22/2021
VeriSign Universal Root Certification Authority 2/22/2021
TC TrustCenter クラス 2 CA II 4/11/2021
COMODO RSA Certification Authority 4/11/2021
UTN-USERFirst-Object 4/11/2021
DigiCert アシュアード ID ルート CA 2021/4/15
DigiCert High Assurance EV Root CA 2021/4/15
DigiCert Global Root CA 2021/4/15
Entrust.net Certification Authority (2048) 2021/4/15
GlobalSign Root CA 2021/4/15
Go Daddy Root Certificate Authority - G2 2021/4/15
Starfield ルート証明機関 - G2 2021/4/15
NetLock Arany (クラス ゴールド) Fotanúsítvány 2021/4/15
NetLock Arany (クラス ゴールド) Fotanúsítvány 2021/4/15
NetLock Platina (Class Platinum) Fotanúsítvány 2021/4/15
Security Communication RootCA1 2021/4/15
StartCom 証明機関 2021/4/15
Certum Trusted Network CA 2021/4/15
COMODO ECC 証明機関 4/11/2021

ドライバーのテストに使用できるクロス署名証明書の代替手段は何ですか?

以下のすべてのオプションで、 TESTSIGNING ブート オプションを 有効にする必要があります。

起動時にドライバーをテストする方法については、「 Windows セットアップとブートに必要なテスト署名されたドライバーをインストールする方法」を参照してください

詳細については、「 開発中およびテスト中のドライバーの署名」を参照してください。

既存の署名済みドライバー パッケージはどうなるでしょうか。

リーフ署名証明書の有効期限より前にドライバー パッケージのタイムスタンプが設定されている限り、それらは引き続き動作します。

運用環境のドライバー パッケージを Microsoft に公開せずに実行する方法はありますか?

いいえ。すべての運用ドライバー パッケージは、Microsoft に提出して署名する必要があります。

ドライバー パッケージのすべての新しい実稼働バージョンは、Microsoft によって署名する必要がありますか?

はい。運用レベルのドライバー パッケージが再構築されるたびに、Microsoft によって署名する必要があります。

2021 年以降も、既存のサード パーティが発行した証明書でドライバー以外のコードに署名できますか?

はい。これらの証明書は有効期限が切れるまで引き続き動作します。 これらの証明書を使用して署名されたコードは、ユーザー モードでのみ実行でき、有効な Microsoft 署名がない限り、カーネルでの実行は許可されません。

ハードウェア デベロッパー センターへの申請に署名するために EV 証明書を引き続き使用できますか?

はい。EV 証明書は有効期限が切れるまで引き続き動作します。 その EV 証明書を発行したクロス証明書の有効期限が切れた後に EV 証明書を使用してカーネル モード ドライバーに署名した場合、結果のドライバーは読み込み、実行、またはインストールされません。

署名証明書がこれらの有効期限の影響を受けるかどうかを確認するにはどうすればよいですか?

クロス証明書チェーンが Microsoft Code Verification Root終了すると、署名証明書が影響を受ける。

クロス証明書チェーンを表示するには、次を実行します signtool verify /v /kp <mydriver.sys>。 次に例を示します。

[Finding Cross Certificate Chain.]

Microsoft テスト署名を自動化してビルド プロセスを操作するにはどうすればよいですか?

ビルド プロセスでは、 ハードウェア デベロッパー センター API を呼び出すことができます。

使用状況を示すサンプルについては、 Surface デベロッパー センター マネージャー リポジトリを参照してください。

2021 年から、Microsoft は運用環境のカーネル モード コード署名の唯一のプロバイダーになりますか?

はい。

ハードウェア デベロッパー センターでは Windows XP のドライバー署名が提供されていません。ドライバーを XP で実行するにはどうすればよいですか?

ドライバーは、サード パーティ発行のコード署名証明書を使用して引き続き署名できます。 ただし、ドライバーに署名した証明書は、ターゲット コンピューターの Local Computer Trusted Publishers 証明書ストアにインポートする必要があります。 詳細については、「 信頼された発行元の証明書ストア 」を参照してください。

運用環境の署名オプションは Windows バージョンによってどのように異なりますか?

警告

ドライバーの署名に対してクロス署名が受け付けなくなりました。 クロス証明書を使用してカーネル モード ドライバーに署名することは、Microsoft Trusted Root Program (TRP) ポリシー違反です。 Microsoft TRP ポリシーに違反している証明書は、CA によって取り消されます。

ドライバーが Windows 7、8、または 8.1 で実行されている場合は、Windows ハードウェア互換性プログラムを通じてドライバーに署名する必要があります。 作業を開始するには、「 新しいハードウェアの申請を作成する」を参照してください。

Windows 10 の場合は、WHCP または 構成証明署名を使用します。

WHCP を使用してドライバーに署名する際に問題がある場合は、次のいずれかを使用して詳細を報告してください。