Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Sterowniki muszą być podpisane przy użyciu certyfikatu przed przesłaniem ich do pulpitu nawigacyjnego sprzętu. Organizacja może skojarzyć dowolną liczbę certyfikatów z jego kontem pulpitu nawigacyjnego, a każdy z przesłanych twoich zgłoszeń musi być podpisany przy użyciu dowolnego z tych certyfikatów. Nie ma żadnych ograniczeń dotyczących liczby certyfikatów (zarówno rozszerzonej weryfikacji( EV) jak i standardowej) skojarzonej z organizacją.
Ten artykuł zawiera ogólne informacje na temat typów podpisywania kodu dostępnych dla sterowników oraz powiązanych wymagań dotyczących tych sterowników.
Aby uzyskać bardziej szczegółowe informacje na temat wymagań dotyczących podpisywania sterowników, zobacz następujące strony:
- Zmiany w podpisywaniu sterowników w systemie Windows 10
- Zmiany podpisywania sterowników w systemie Windows 10 w wersji 1607
- Aktualizacja wymagania dotyczącego certyfikatu Sysdev EV
Gdzie uzyskać certyfikaty podpisywania kodu EV
Certyfikaty podpisywania kodu EV można kupić od jednego z następujących urzędów certyfikacji:
- certyfikat podpisywania kodu Certum EV
- certyfikat podpisywania kodu DigiCert EV
- certyfikat podpisywania kodu GlobalSign EV
- certyfikat podpisywania kodu IdenTrust EV
- Sectigo (dawniej Comodo) certyfikat podpisywania kodu EV
- SSL.com certyfikat podpisywania kodu EV
Sterowniki podpisane certyfikatem EV
Konto pulpitu nawigacyjnego usługi Hardware Dev Center musi mieć skojarzony z nim co najmniej jeden certyfikat EV, aby przesłać pliki binarne do podpisywania zaświadczania lub przesłać pliki binarne do certyfikacji HLK.
Obowiązują następujące reguły:
- Zarejestrowany certyfikat EV musi być ważny w momencie przesłania.
- Firma Microsoft zdecydowanie zaleca podpisywanie indywidualnych zgłoszeń przy użyciu certyfikatu EV, ale możesz też podpisać przesyłanie przy użyciu certyfikatu podpisywania Authenticode, który jest również zarejestrowany na koncie Centrum partnerskiego.
- Wszystkie certyfikaty muszą być SHA2 i podpisane za pomocą przełącznika
/fd sha256wiersza polecenia SignTool.
Jeśli masz już zatwierdzony certyfikat EV od urzędu certyfikacji, możesz użyć go do ustanowienia konta Centrum partnerskiego. Jeśli nie masz certyfikatu EV, wybierz jeden z urzędów certyfikacji i postępuj zgodnie z instrukcjami dotyczącymi zakupu.
Po zweryfikowaniu przez urząd certyfikacji informacji kontaktowych i zatwierdzeniu zakupu certyfikatu postępuj zgodnie z instrukcjami pobierania certyfikatu.
Przetestowane sterowniki HLK i sterowników podpisanych na pulpicie nawigacyjnym
Podpisany sterownik pulpitu nawigacyjnego, który przeszedł testy HLK działa w systemie Windows Vista i nowszych wersjach, w tym w wersjach systemu Windows Server. Testowanie HLK jest zalecaną metodą podpisywania sterowników, ponieważ podpisuje sterownik dla wszystkich wersji systemu operacyjnego. Przetestowane sterowniki HLK pokazują, że producent rygorystycznie testuje swój sprzęt, aby spełnić wszystkie wymagania firmy Microsoft dotyczące niezawodności, bezpieczeństwa, wydajności zasilania, możliwości obsługi i wydajności, aby zapewnić doskonałe środowisko systemu Windows. Testowanie obejmuje zgodność ze standardami branżowymi i zgodność ze specyfikacjami firmy Microsoft dotyczącymi funkcji specyficznych dla technologii, co pomaga zapewnić poprawną instalację, wdrażanie, łączność i współdziałanie. Aby dowiedzieć się, jak utworzyć przetestowany sterownik HLK na potrzeby przesyłania pulpitu nawigacyjnego, zobacz Wprowadzenie do systemu Windows HLK.
Sterowniki podpisane atestacją dla systemu Windows 10 na potrzeby scenariuszy testowania
Instalacja urządzenia z systemem Windows używa podpisów cyfrowych do weryfikowania integralności pakietów sterowników i tożsamości wydawcy oprogramowania, który udostępnia pakiety sterowników.
Tylko do celów testowych możesz przesłać sterowniki do podpisania atestu, co nie wymaga testowania HLK.
Podpisywanie zaświadczania ma następujące ograniczenia i wymagania:
Nie można opublikować podpisanych sterowników zaświadczania w usłudze Windows Update dla odbiorców detalicznych. Aby opublikować sterownik w usłudze Windows Update dla odbiorców detalicznych, musisz przesłać sterownik za pośrednictwem programu zgodności sprzętu systemu Windows (WHCP). Publikowanie sterowników podpisanych w ramach poświadczenia do usługi Windows Update w celach testowych jest obsługiwane przez wybranie opcji CoDev lub Test Registry Key/Surface SSRK.
Podpisywanie zaświadczania działa tylko w systemie Windows 10 Desktop i nowszych wersjach systemu Windows.
Podpisywanie zaświadczania obsługuje tryb jądra systemu Windows 10 Desktop i sterowniki trybu użytkownika. Mimo że sterowniki trybu użytkownika nie muszą być podpisane przez firmę Microsoft dla systemu Windows 10, ten sam proces zaświadczania może być używany zarówno dla sterowników trybu użytkownika, jak i jądra. W przypadku sterowników, które muszą działać w poprzednich wersjach systemu Windows, należy przesłać dzienniki testowe HLK/HCK na potrzeby certyfikacji systemu Windows.
Podpisywanie zaświadczeń nie zwraca odpowiedniego poziomu PE dla plików binarnych PE ELAM lub Windows Hello. Te pliki binarne muszą być testowane i przesyłane jako pakiety hlkx, aby otrzymywać dodatkowe atrybuty podpisu.
Podpisywanie zaświadczania wymaga użycia certyfikatu rozszerzonej weryfikacji (EV) w celu przesłania sterownika do Centrum partnerskiego (pulpit nawigacyjny Centrum deweloperów sprzętu).
Podpisywanie weryfikacyjne wymaga, aby nazwy folderów sterowników nie zawierały znaków specjalnych, nie używały ścieżek udziału plików UNC i miały mniej niż 40 znaków.
Gdy sterownik otrzymuje podpis weryfikacyjny, nie ma certyfikatu Windows. Podpis potwierdzający firmy Microsoft wskazuje, że system Windows uznaje sterownik za zaufany. Ale ponieważ sterownik nie został przetestowany w HLK Studio, nie ma żadnych gwarancji dotyczących zgodności, funkcjonalności itd. Sterownik, który otrzymuje podpisanie poświadczenia, nie może zostać opublikowany dla odbiorców detalicznych przez Windows Update. Jeśli chcesz opublikować sterownik dla odbiorców detalicznych, musisz przesłać sterownik za pośrednictwem programu zgodności sprzętu systemu Windows (WHCP).
DUA ("Driver Update Acceptable") nie obsługuje sterowników podpisanych przy użyciu uwierzytelniania.
Następujące poziomy PE i pliki binarne mogą być przetworzone za pomocą atestacji:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .xpi
- .xap
Aby uzyskać informacje na temat tworzenia sterownika podpisanego zaświadczeniem dla sterowników systemu Windows 10 lub nowszych, zobacz Podpisywanie zaświadczeń dla sterowników systemu Windows 10+.
Podpisane sterowniki dla Windows Server
- System Windows Server 2016 lub nowszy nie akceptuje zaświadczanych urządzeń i filtruj przesyłanie podpisów sterowników.
- Panel sterowania podpisuje tylko sterowniki urządzeń i filtrów, które pomyślnie przechodzą testy HLK.
- System Windows Server 2016 i nowsze ładuje tylko podpisane sterowniki pulpitu nawigacyjnego, które pomyślnie przeszły testy HLK.
Kontrola aplikacji usługi Windows Defender
Przedsiębiorstwa mogą zaimplementować zasady modyfikowania wymagań dotyczących podpisywania sterowników przy użyciu systemu Windows 10 Enterprise. Funkcja Windows Defender Application Control (WDAC) udostępnia zasady integralności kodu zdefiniowane przez przedsiębiorstwo, które można skonfigurować tak, aby wymagać co najmniej sterownika ze znakiem zaświadczania. Aby uzyskać więcej informacji na temat usługi WDAC, zobacz Planowanie i rozpoczynanie pracy w procesie wdrażania kontroli aplikacji w usłudze Windows Defender.
Wymagania dotyczące podpisywania sterowników systemu Windows
Poniższa tabela zawiera podsumowanie wymagań dotyczących podpisywania sterowników dla systemu Windows:
| wersja | Podpisany pulpit nawigacyjny zaświadczania | Test HLK zaliczony — podpisany pulpit nawigacyjny | Podpisane krzyżowo przy użyciu certyfikatu SHA-1 wystawionego przed 29 lipca 2015 r. |
|---|---|---|---|
| Windows Vista | Nie. | Tak | Tak |
| Windows 7 | Nie. | Tak | Tak |
| Windows 8/8.1 | Nie. | Tak | Tak |
| Windows 10 | Tak | Tak | Nie (od systemu Windows 10 1809) |
| Windows 10 — włączona DG | *Zależna od konfiguracji | *Zależna od konfiguracji | *Zależna od konfiguracji |
| Windows Server 2008 R2 | Nie. | Tak | Tak |
| Windows Server 2012 R2 | Nie. | Tak | Tak |
| Windows Server >= 2016 | Nie. | Tak | Tak |
| Windows Server >= 2016 – DG Włączone | *Zależna od konfiguracji | *Zależna od konfiguracji | *Zależna od konfiguracji |
| Windows IoT Enterprise | Tak | Tak | Tak |
| Windows IoT Enterprise — DG włączona | *Zależna od konfiguracji | *Zależna od konfiguracji | *Zależna od konfiguracji |
| Windows IoT Core(1) | Tak (niewymagane) | Tak (niewymagane) | Tak (podpisywanie krzyżowe będzie również działać w przypadku certyfikatów wystawionych po 29 lipca 2015 r.) |
*Zależne od konfiguracji — w przypadku systemu Windows 10 Enterprise organizacje mogą używać kontroli aplikacji usługi Windows Defender (WDAC) do definiowania niestandardowych wymagań dotyczących podpisywania. Aby uzyskać więcej informacji na temat usługi WDAC, zobacz Planowanie i rozpoczynanie pracy w procesie wdrażania kontroli aplikacji w usłudze Windows Defender.
(1) Podpisywanie sterowników jest wymagane w przypadku producentów tworzących produkty detaliczne (tj. do użytku końcowego) z rozwiązaniem IoT Core. Aby uzyskać listę zatwierdzonych urzędów certyfikacji, zobacz Cross-Certificates for Kernel Mode Code Signing (Certyfikaty krzyżowe podpisywania kodu trybu jądra). Jeśli bezpieczny rozruch UEFI jest włączony, sterowniki muszą być podpisane.