드라이버 코드 서명 요구 사항
드라이버를 하드웨어 대시보드에 제출하기 전에 인증서로 서명해야 합니다. 조직은 임의의 수의 인증서를 대시보드 계정과 연결할 수 있으며 각 제출은 해당 인증서 중 하나로 서명해야 합니다. 조직과 연결된 인증서 수(EV(확장 유효성 검사) 및 표준)에는 제한이 없습니다.
이 문서에서는 드라이버에 사용할 수 있는 코드 서명 유형과 해당 드라이버에 대한 관련 요구 사항에 대한 일반적인 정보를 제공합니다.
드라이버 서명 요구 사항에 대한 자세한 내용은 다음 페이지를 참조하세요.
코드 서명 인증서를 가져올 위치
코드 서명 인증서는 다음 인증 기관 중 하나에서 구입할 수 있습니다.
EV 인증서 서명된 드라이버
하드웨어 개발자 센터 대시보드 계정에는 증명 서명을 위해 이진 파일을 제출하거나 HLK 인증을 위해 이진 파일을 제출하기 위해 연결된 EV 인증서가 하나 이상 있어야 합니다. 다음 규칙이 적용됩니다.
- 등록된 EV 인증서는 제출 시 유효해야 합니다.
- Microsoft는 EV 인증서를 사용하여 개별 제출에 서명하는 것이 강력히 권장되지만 파트너 센터 계정에도 등록된 Authenticode 서명 인증서를 사용하여 제출에 서명할 수도 있습니다.
- 모든 인증서는 SHA2이고 SignTool 명령줄 스위치로
/fd sha256서명되어야 합니다.
인증 기관의 승인된 EV 인증서가 이미 있는 경우 이를 사용하여 파트너 센터 계정을 설정할 수 있습니다. EV 인증서가 없는 경우 인증 기관 중 하나를 선택하고 구매 지침을 따릅니다.
인증 기관에서 연락처 정보를 확인하고 인증서 구매가 승인되면 해당 지침에 따라 인증서를 검색합니다.
HLK 테스트 및 대시보드 서명된 드라이버
HLK 테스트를 통과한 대시보드 서명 드라이버는 Windows Server 버전을 포함하여 Windows Vista에서 Windows 10을 통해 작동합니다. HLK 테스트는 모든 OS 버전에 대해 드라이버에 서명하므로 드라이버 서명에 권장되는 방법입니다. 또한 HLK 테스트 드라이버는 제조업체가 뛰어난 Windows 환경을 제공하기 위해 안정성, 보안, 전력 효율성, 서비스 효율성 및 성능과 관련하여 Microsoft의 모든 요구 사항을 충족하도록 하드웨어를 엄격하게 테스트했음을 보여줍니다. 여기에는 업계 표준을 준수하고 기술 관련 기능에 대한 Microsoft 사양을 준수하여 올바른 설치, 배포, 연결 및 상호 운용성을 보장하는 데 도움이 됩니다. 대시보드 제출에 대해 HLK 테스트 드라이버를 만드는 방법을 알아보려면 Windows HLK 시작 방법을 참조하세요.
테스트 시나리오를 위한 Windows 10 증명 서명된 드라이버
Windows 디바이스 설치는 디지털 서명을 사용하여 드라이버 패키지의 무결성 및 드라이버 패키지를 제공하는 소프트웨어 게시자의 ID를 확인합니다.
테스트 목적으로만 HLK 테스트가 필요하지 않은 증명 서명을 위해 드라이버를 제출할 수 있습니다.
증명 서명에는 다음과 같은 제한 사항과 요구 사항이 있습니다.
증명 서명된 드라이버는 소매 고객을 위해 Windows 업데이트 게시할 수 없습니다. 소매 고객을 위해 Windows 업데이트 드라이버를 게시하려면 WHCP(Windows 하드웨어 호환성 프로그램)를 통해 드라이버를 제출해야 합니다. 테스트 목적으로 Windows 업데이트 증명 서명 드라이버를 게시하는 것은 CoDev 또는 테스트 레지스트리 키/Surface SSRK 옵션을 선택하여 지원됩니다.
증명 서명은 Windows 10 Desktop 이상 버전의 Windows에서만 작동합니다. 증명 서명된 드라이버는 Windows Server 2016, Windows 8 또는 Windows 7과 같은 다른 버전의 Windows에서는 작동하지 않습니다.
증명 서명은 Windows 10 데스크톱 커널 모드 및 사용자 모드 드라이버를 지원합니다. Windows 10용 Microsoft에서 사용자 모드 드라이버를 서명할 필요는 없지만 사용자 및 커널 모드 드라이버 모두에 동일한 증명 프로세스를 사용할 수 있습니다. 이전 버전의 Windows에서 실행해야 하는 드라이버의 경우 Windows 인증을 위해 HLK/HCK 테스트 로그를 제출해야 합니다.
증명 서명은 ELAM 또는 Windows Hello PE 이진 파일에 대한 적절한 PE 수준을 반환하지 않습니다. 이러한 특성은 추가 서명 특성을 받으려면 .hlkx 패키지로 테스트하고 제출해야 합니다.
증명 서명을 사용하려면 EV(확장 유효성 검사) 인증서를 사용하여 드라이버를 파트너 센터(하드웨어 개발자 센터 대시보드)에 제출해야 합니다.
증명 서명을 사용하려면 드라이버 폴더 이름에 특수 문자가 없고 UNC 파일 공유 경로가 없으며 길이가 40자 미만이어야 합니다.
드라이버가 증명 서명을 받으면 Windows Certified가 아닙니다. Microsoft의 증명 서명은 Windows에서 드라이버를 신뢰할 수 있음을 나타내지만 HLK Studio에서 드라이버를 테스트하지 않았기 때문에 호환성, 기능 등에 대한 보장은 없습니다. 증명 서명을 받는 드라이버는 Windows 업데이트 통해 소매 대상 그룹에 게시할 수 없습니다. 소매 대상 그룹에 드라이버를 게시하려면 WHCP(Windows 하드웨어 호환성 프로그램)를 통해 드라이버를 제출해야 합니다.
DUA(드라이버 업데이트 허용)는 증명을 사용하여 서명된 드라이버를 지원하지 않습니다.
다음 PE 수준 및 이진 파일은 증명을 통해 처리할 수 있습니다.
- PeTrust
- DrmLevel
- Hal
- .exe
- .택시
- .dll
- .ocx
- .msi
- ..xpi
- .Xap
Windows 10+ 드라이버에 대한 증명 서명 드라이버를 만드는 방법에 대한 자세한 내용은 증명 서명 Windows 10+ 드라이버를 참조 하세요.
Windows Server 서명된 드라이버
- Windows Server 2016 이상에서는 수집된 디바이스 및 필터 드라이버 서명 제출을 허용하지 않습니다.
- 대시보드는 HLK 테스트를 성공적으로 통과한 디바이스 및 필터 드라이버에만 서명합니다.
- Windows Server 2016 이상에서는 HLK 테스트를 성공적으로 통과한 대시보드 서명된 드라이버만 로드합니다.
Windows Defender 애플리케이션 제어
기업은 Windows 10 Enterprise 버전을 사용하여 드라이버 서명 요구 사항을 수정하는 정책을 구현할 수 있습니다. WDAC(Windows Defender 애플리케이션 제어)는 증명 서명된 드라이버 이상을 요구하도록 구성할 수 있는 엔터프라이즈 정의 코드 무결성 정책을 제공합니다. WDAC에 대한 자세한 내용은 Windows Defender 애플리케이션 제어 배포 프로세스 계획 및 시작을 참조 하세요.
Windows 드라이버 서명 요구 사항
아래 표에서는 Windows에 대한 드라이버 서명 요구 사항을 요약합니다.
| 버전 | 서명된 증명 대시보드 | HLK 테스트 통과 대시보드 서명됨 | 2015년 7월 29일 이전에 발급된 SHA-1 인증서를 사용하여 교차 서명 |
|---|---|---|---|
| Windows Vista | 예 | 네 | 예 |
| Windows 7 | 예 | 네 | 예 |
| Windows 8 / 8.1 | 예 | 네 | 예 |
| Windows 10 | 예 | 예 | 아니요(Windows 10 1809 현재) |
| Windows 10 - DG 사용 | *구성 종속 | *구성 종속 | *구성 종속 |
| Windows Server 2008 R2 | 예 | 네 | 예 |
| Windows Server 2012 R2 | 예 | 네 | 예 |
| Windows Server >= 2016 | 예 | 네 | 예 |
| Windows Server >= 2016 – DG 사용 | *구성 종속 | *구성 종속 | *구성 종속 |
| Windows IoT Enterprise | 예 | 네 | 예 |
| Windows IoT Enterprise- DG 사용 | *구성 종속 | *구성 종속 | *구성 종속 |
| Windows IoT Core(1) | 예(필수 아님) | 예(필수 아님) | 예(교차 서명은 2015년 7월 29일 이후에 발급된 인증서에도 작동) |
*구성 종속 – Windows 10 Enterprise Edition을 사용하면 조직에서 WDAC(Windows Defender Application Control)를 사용하여 사용자 지정 서명 요구 사항을 정의할 수 있습니다. WDAC에 대한 자세한 내용은 Windows Defender 애플리케이션 제어 배포 프로세스 계획 및 시작을 참조 하세요.
(1) IoT Core를 사용하여 소매 제품을 빌드하는 제조업체(즉, 비개발 목적으로)에 드라이버 서명이 필요합니다. 승인된 CA(인증 기관) 목록은 커널 모드 코드 서명에 대한 인증서 간을 참조하세요. UEFI 보안 부팅을 사용하는 경우 드라이버에 서명해야 합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기