Substituição de certificados de editor de software, certificados de versão comercial e certificados de teste comerciais

Cuidado

A maioria dos certificados cruzados expirou em julho de 2021. Você não pode usar certificados de assinatura de código que encadeiam para certificados cruzados expirados para criar novas assinaturas digitais no modo kernel para qualquer versão do Windows.

O Programa Raiz Confiável da Microsoft não dá mais suporte a certificados raiz que têm recursos de assinatura do modo kernel.

Para obter requisitos de política, consulte Requisitos de assinatura de código do modo Kernel do Windows 10.

Os certificados raiz com sinal cruzado existentes com recursos de assinatura de código no modo kernel continuarão funcionando até a expiração. Todos os certificados do editor de software, certificados de versão comercial e certificados de teste comerciais que são encadeados de volta a esses certificados raiz também se tornam inválidos no mesmo agendamento.

Para assinar o driver, primeiro registre-se no programa do Centro de Desenvolvimento de Hardware do Windows.

Perguntas frequentes

• Qual é o agendamento de expiração dos certificados cruzados confiáveis?
• Quais alternativas para certificados com sinal cruzado estão disponíveis para testar drivers?
• O que acontecerá com meus pacotes de driver assinados existentes?
• Há uma maneira de executar pacotes de driver de produção sem expô-los à Microsoft?
• Todas as novas versões do meu pacote de driver precisam ser reenviadas no Centro de Desenvolvimento de Hardware?
• Continuaremos a assinar código não driver com nossos certificados emitidos por terceiros existentes após 2021?
• Posso continuar usando meu certificado EV para assinar envios para o Centro de Desenvolvimento de Hardware?
• Como fazer saber se meu certificado de autenticação será afetado por essas expirações?
• Como automatizar a Assinatura de Teste da Microsoft para trabalhar com nossos processos de build?
• A partir de 2021, a Microsoft será o único provedor de assinaturas de código do modo kernel de produção?
• O Centro de Desenvolvimento de Hardware não fornece assinatura de driver para o Windows XP, como posso fazer com que meus drivers sejam executados no XP?
• Como as opções de assinatura de produção diferem pela versão do Windows?

Qual é o agendamento de expiração dos certificados cruzados confiáveis?

A maioria dos certificados raiz assinados cruzadamente expirou em 2021, de acordo com o seguinte agendamento:

Nome comum	Data de validade
VeriSign Class 3 Public Primary Certification Authority – G5	2/22/2021
descongelar a AC raiz primária	2/22/2021
GeoTrust Primary Certification Authority	2/22/2021
Autoridade de Certificação Primária do GeoTrust – G3	2/22/2021
descongelar AC raiz primária – G3	2/22/2021
VeriSign Universal Root Certification Authority	2/22/2021
TC TrustCenter Classe 2 CA II	4/11/2021
COMODO RSA Certification Authority	4/11/2021
UTN-USERFirst-Object	4/11/2021
AC raiz de ID garantida da DigiCert	15/04/2021
DigiCert High Assurance EV Root CA	15/04/2021
DigiCert Global Root CA	15/04/2021
Autoridade de certificação raiz da Entrust (2048)	15/04/2021
GlobalSign Root CA	15/04/2021
Go Daddy Root Certificate Authority – G2	15/04/2021
Autoridade de Certificação Raiz de Starfield – G2	15/04/2021
NetLock Arany (Classe Ouro) Fotanúsítvány	15/04/2021
NetLock Arany (Classe Ouro) Fotanúsítvány	15/04/2021
NetLock Platina (Classe Platinum) Fotanúsítvány	15/04/2021
AC Raiz 1 de comunicação de segurança	15/04/2021
Autoridade de Certificação StartCom	15/04/2021
Ac de rede confiável certum	15/04/2021
Autoridade de Certificação COMODO ECC	4/11/2021

Quais alternativas aos certificados assinados cruzadamente estão disponíveis para testar drivers?

Para todas as opções abaixo, a opção de inicialização TESTSIGNING deve estar habilitada.

• Processo MakeCert
• Programa de Assinatura de Teste do WHQL
• Processo de AC empresarial

Para testar drivers na inicialização, consulte How to Install a Test-signed Driver Required for Windows Setup and Boot( Como instalar um driver assinado por teste necessário para instalação e inicialização do Windows).

Para obter mais informações, consulte Assinando drivers durante o desenvolvimento e o teste.

O que acontecerá com meus pacotes de driver assinados existentes?

Desde que os pacotes de driver sejam carimbo de data/hora antes da data de validade do certificado de assinatura folha, eles continuarão funcionando.

Há uma maneira de executar pacotes de driver de produção sem expô-los à Microsoft?

Não, todos os pacotes de driver de produção devem ser enviados e assinados pela Microsoft.

Todas as novas versões de produção de um pacote de driver precisam ser assinadas pela Microsoft?

Sim, sempre que um pacote de driver de nível de produção é recriado, ele deve ser assinado pela Microsoft.

Continuaremos a assinar código não driver com nossos certificados emitidos por terceiros existentes após 2021?

Sim, esses certificados continuarão funcionando até expirarem. O código assinado usando esses certificados só poderá ser executado no modo de usuário e não poderá ser executado no kernel, a menos que tenha uma assinatura válida da Microsoft.

Posso continuar usando meu certificado EV para assinar envios para o Centro de Desenvolvimento de Hardware?

Sim, os certificados EV continuarão funcionando até expirarem. Se você assinar um driver no modo kernel com um certificado EV após a expiração do certificado cruzado que emitiu esse certificado EV, o driver resultante não carregará, executará ou instalará.

Como fazer saber se meu certificado de autenticação será afetado por essas expirações?

Se a Cadeia de Certificados Cruzados terminar em Microsoft Code Verification Root, o certificado de autenticação será afetado.

Para exibir a cadeia de certificados cruzados, execute signtool verify /v /kp <mydriver.sys>. Por exemplo:

Como automatizar a Assinatura de Teste da Microsoft para trabalhar com nossos processos de build?

Os processos de build podem chamar a API do Centro de Desenvolvimento de Hardware.

Para obter exemplos que mostram o uso, consulte o repositório do Surface Dev Center Manager .

A partir de 2021, a Microsoft será o único provedor de assinaturas de código do modo kernel de produção?

Sim.

O Centro de Desenvolvimento de Hardware não fornece assinatura de driver para o Windows XP, como posso fazer com que meus drivers sejam executados no XP?

Os drivers ainda podem ser assinados com um certificado de assinatura de código emitido por terceiros. No entanto, o certificado que assinou o driver deve ser importado para o Local Computer Trusted Publishers repositório de certificados no computador de destino. Consulte Repositório de Certificados de Editores Confiáveis para obter mais informações.

Como as opções de assinatura de produção diferem pela versão do Windows?

Aviso

A assinatura cruzada não é mais aceita para assinatura de driver. Usar certificados cruzados para assinar drivers no modo kernel é uma violação da política do TRP ( Programa Raiz Confiável ) da Microsoft. O TRP não dá mais suporte a certificados raiz que têm recursos de assinatura do modo kernel. Os certificados que violam as políticas de TRP da Microsoft serão revogados pela AC.

Se o driver for executado no Windows 7, 8 ou 8.1, seu driver deverá ser assinado por meio do Programa de Compatibilidade de Hardware do Windows. Para começar, confira Criar um novo envio de hardware.

Para o Windows 10, use WHCP ou assinatura de atestado.

Se você tiver desafios para assinar seu driver com o WHCP, relate as especificidades usando um dos seguintes:

• Use o portal do Microsoft Collaborate, disponível por meio do Painel do Microsoft Partner Center, para criar um bug de comentários.
• Acesse Suporte para desenvolvedores do Windows, selecione a guia Fale conosco e, na caixa Suporte técnico , ao lado de Desenvolvimento e Teste/Certificação de Driver, selecione Enviar um incidente.

Informações relacionadas

• Registrar-se no Programa de Hardware