ソフトウェア発行元証明書、商用リリース証明書、および商用テスト証明書の廃止

  • [アーティクル]

注意

クロス証明書の大部分は、2021 年 7 月に期限切れになりました。 期限切れのクロス証明書にチェーンするコード署名証明書を使用して、Windows の任意のバージョンの新しいカーネルモードのデジタル署名を作成することはできません。

Microsoft の信頼されたルートプログラムは、カーネルモードの署名機能を持つルート証明書をサポートしなくなりました。

ポリシー要件については、Windows 10 カーネルモードのコード署名の要件を参照してください。

カーネルモードのコード署名機能を備えた既存のクロス署名ルート証明書 は、有効期限が切れるまで動作し続けます。 これらのルート証明書にチェーンバックするすべてのソフトウェア発行元証明書、商用リリース証明書、および商用テスト証明書も、同じスケジュールで無効になります。

ドライバーに署名するには、まず Windows ハードウェア開発者アセンタープログラムに登録します。

よく寄せられる質問

信頼されたクロス証明書の有効期限スケジュールは何ですか?

クロス署名されたルート証明書の大部分は、次のスケジュールに従って 2021 年に期限切れになりました。

共通名 有効期限
VeriSign Class 3 Public Primary Certification Authority - G5 2021/2/22
thawte Primary Root CA 2021/2/22
GeoTrust Primary Certification Authority 2021/2/22
GeoTrust Primary Certification Authority - G3 2021/2/22
thawte Primary Root CA - G3 2021/2/22
VeriSign Universal Root Certification Authority 2021/2/22
TC TrustCenter Class 2 CA II 2021/4/11
COMODO RSA Certification Authority 2021/4/11
UTN-USERFirst-Object 2021/4/11
DigiCert Assured ID Root CA 2021/4/15
DigiCert High Assurance EV Root CA 2021/4/15
DigiCert Global Root CA 2021/4/15
Entrust.net Certification Authority (2048) 2021/4/15
GlobalSign Root CA 2021/4/15
Go Daddy Root Certificate Authority - G2 2021/4/15
Starfield Root Certificate Authority - G2 2021/4/15
NetLock Arany (Class Gold) Fotanúsítvány 2021/4/15
NetLock Arany (Class Gold) Fotanúsítvány 2021/4/15
NetLock Platina (Class Platinum) Fotanúsítvány 2021/4/15
Security Communication RootCA1 2021/4/15
StartCom Certification Authority 2021/4/15
Certum Trusted Network CA 2021/4/15
COMODO ECC Certification Authority 2021/4/11

ドライバーをテストするために使用できるクロス署名付き証明書の代替手段は何ですか?

以下のすべてのオプションで、TESTSIGNING ブートオプション を有効にする必要があります。

起動時のドライバーのテストについては、Windows セットアップとブートに必要なテスト署名済ドライバーのインストール方法を参照してください。

詳しい情報については、開発中およびテスト中のドライバーの署名を参照してください。

既存の署名済ドライバーパッケージはどうなるでしょうか。

リーフ署名証明書の有効期限の前にドライバーパッケージのタイムスタンプが付いている限り、それらは引き続き動作します。

運用環境のドライバーパッケージを Microsoft に公開せずに実行する方法はありますか。

いいえ。すべての運用ドライバーパッケージは、Microsoft に提出して署名する必要があります。

ドライバーパッケージのすべての新しい実稼働バージョンは、Microsoft によって署名される必要がありますか?

はい。運用レベルのドライバーパッケージが再構築されるたびに、Microsoft によって署名されている必要があります。

2021 年以降も、既存のサードパーティが発行した証明書でドライバー以外のコードに署名できますか?

はい。これらの証明書は有効期限が切れるまで引き続き機能します。 これらの証明書を使用して署名されたコードは、ユーザーモードでのみ実行でき、有効な Microsoft 署名がない限りカーネルでの実行は許可されません。

ハードウェア開発者センターへの提出に署名するために EV 証明書を引き続き使用できますか?

はい。これらの EV 証明書は有効期限が切れるまで引き続き機能します。 その EV 証明書を発行したクロス証明書の有効期限が切れた後に、EV 証明書を使用してカーネルモードドライバーに署名した場合、結果のドライバーは読み込み、実行、またはインストールされません。

署名証明書がこれらの有効期限の影響を受けるかどうかは操作方法ですか?

クロス証明書チェーンが終了するとMicrosoft Code Verification Root、署名証明書がその影響を受けます。

クロス証明書チェーンを表示するには、次を実行します signtool verify /v /kp <mydriver.sys>。 次に例を示します。

[Finding Cross Certificate Chain.]

Microsoft テスト署名を自動化してビルドプロセスを操作するにはどうすればよいですか?

ビルドプロセスでは、ハードウェア開発者センター API を呼び出すことができます。

使用状況を示すサンプルについては、Surface 開発者センターマネージャーのリポジトリを参照してください。

2021 年から、Microsoft は運用カーネルモードコード署名の唯一のプロバイダーになりますか?

はい。

Windows XP のドライバー署名が提供されないハードウェア開発者センターで、XP でドライバーを実行するにはどうすればよいですか?

ドライバーは、サードパーティ発行のコード署名証明書を使用して引き続き署名できます。 ただし、ドライバーに署名した証明書は、対象のコンピュータ上のLocal Computer Trusted Publishers証明書ストアにインポートする必要があります。 さらに詳しい情報は、信頼された公開証明書を参照してください。

運用環境の署名オプションは Windows のバージョンによってどのように異なりますか?

警告

ドライバーの署名でクロス署名の受け付けを停止しました。 クロス証明書を使用してカーネルモードのドライバーに署名することは、Microsoft の信頼されたルートプログラム (TRP) ポリシーに違反します。 TRP は、カーネルモードの署名機能を有するルート証明書をサポートしなくなりました。 Microsoft TRP ポリシーに違反している証明書は、CA によって取り消されます。

ドライバーが Windows 7、8、または 8.1 で実行されている場合は、Windows ハードウェア互換性プログラムを通じてドライバーに署名する必要があります。 開始するには、新しいハードウェア申請を作成するを参照してください。

Windows 10 の場合は、WHCP または 認証署名を使用します。

WHCP を使用してドライバーに署名する際に課題がある場合は、次のいずれかを使用して詳しく報告してください。

  • Microsoft Partner Center Dashboardから利用できる Microsoft Collaborate ポータルを使用して、フィードバックのバグを作成します。
  • Windows 開発者サポートに移動し、お問い合わせタブを選択し、テクニカルサポート のボックスのドライバーの開発とテスト/認定の横にあるインシデントの送信を選択します。