Устаревание сертификатов издателя программного обеспечения, коммерческих сертификатов выпуска и коммерческих тестовых сертификатов

Внимание!

Срок действия большинства перекрестных сертификатов истек в июле 2021 г. Вы не можете использовать сертификаты подписи кода, связанные с перекрестными сертификатами с истекшим сроком действия, для создания цифровых подписей в режиме ядра для любой версии Windows.

Доверенная корневая программа Майкрософт больше не поддерживает корневые сертификаты, которые имеют возможности подписывания в режиме ядра.

Требования к политике см. в статье Требования к подписываву кода в режиме ядра Windows 10.

Существующие перекрестные корневые сертификаты с возможностью подписывания кода в режиме ядра будут продолжать работать до истечения срока действия. Все сертификаты издателя программного обеспечения, коммерческие сертификаты выпуска и коммерческие тестовые сертификаты, которые связаны с этими корневыми сертификатами, также становятся недействительными по одному и тому же расписанию.

Чтобы получить подпись драйвера, сначала зарегистрируйтесь в программе Центра разработки оборудования для Windows.

Часто задаваемые вопросы

• Каково расписание истечения срока действия доверенных кросс-сертификатов?
• Какие альтернативы перекрестным сертификатам доступны для тестирования драйверов?
• Что произойдет с существующими подписанными пакетами драйверов?
• Существует ли способ запуска пакетов драйверов в рабочей среде, не предоставляя их корпорации Майкрософт?
• Нужно ли повторно отправлять каждую новую версию пакета драйверов в Центр разработки оборудования?
• Будем ли мы продолжать подписывать код, отличный от драйвера, с помощью существующих сторонних сертификатов, выданных после 2021 года?
• Смогу ли я продолжать использовать сертификат ev для подписывания отправок в Центр разработки оборудования?
• Разделы справки знать, повлияет ли на мой сертификат подписи эти сроки действия?
• Как автоматизировать подписывание тестов Майкрософт для работы с процессами сборки?
• Будет ли корпорация Майкрософт единственным поставщиком сигнатур кода в режиме ядра в рабочей среде с 2021 года?
• Центр разработки оборудования не обеспечивает подписывание драйверов для Windows XP. Как можно запустить драйверы в XP?
• Чем отличаются параметры подписывания в рабочей среде в разных версиях Windows?

Каково расписание истечения срока действия доверенных кросс-сертификатов?

Срок действия большинства подписанных корневых сертификатов истек в 2021 году в соответствии со следующим расписанием:

Общее имя	Срок действия
VeriSign Class 3 Public Primary Certification Authority - G5	2/22/2021
Размораживание первичного корневого ЦС	2/22/2021
Основной ЦС GeoTrust	2/22/2021
Основной центр сертификации GeoTrust — G3	2/22/2021
Разморозить первичный корневой ЦС — G3	2/22/2021
VeriSign Universal Root Certification Authority	2/22/2021
ЦС TC TrustCenter класса 2, ЦС II	4/11/2021
COMODO RSA Certification Authority	4/11/2021
UTN-USERFirst-Object	4/11/2021
Корневой ЦС с гарантированным идентификатором DigiCert	15.04.2021
DigiCert High Assurance EV Root CA	15.04.2021
DigiCert Global Root CA	15.04.2021
ЦС Entrust.net (2048)	15.04.2021
GlobalSign Root CA	15.04.2021
Корневой ЦС Go Daddy — G2	15.04.2021
Корневой центр сертификации Starfield — G2	15.04.2021
NetLock Arany (Класс Gold) Fotanúsítvány	15.04.2021
NetLock Arany (Класс Gold) Fotanúsítvány	15.04.2021
NetLock Platina (класс Platinum) Fotanúsítvány	15.04.2021
RootCA1 Communication Security	15.04.2021
Центр сертификации StartCom	15.04.2021
ЦС доверенной сети Certum	15.04.2021
Центр сертификации COMODO ECC	4/11/2021

Какие альтернативы перекрестным сертификатам доступны для тестирования драйверов?

Для всех указанных ниже параметров необходимо включить параметр загрузки TESTSIGNING .

• Процесс MakeCert
• Программа тестовой подписи WHQL
• Корпоративный процесс ЦС

Сведения о тестировании драйверов при загрузке см. в статье Установка драйвера, подписанного тестом, обязательного для установки и загрузки Windows.

Дополнительные сведения см. в разделе Подписывание драйверов во время разработки и тестирования.

Что произойдет с существующими подписанными пакетами драйверов?

До тех пор, пока пакеты драйверов имеют метку времени до даты окончания срока действия сертификата подписи конечной части, они будут продолжать работать.

Существует ли способ запуска пакетов драйверов в рабочей среде, не предоставляя их корпорации Майкрософт?

Нет, все пакеты драйверов в рабочей среде должны быть отправлены в корпорацию Майкрософт и подписаны корпорацией Майкрософт.

Нужно ли подписывать каждую новую рабочую версию пакета драйверов корпорацией Майкрософт?

Да, каждый раз, когда пакет драйверов рабочего уровня перестраивается, он должен подписываться корпорацией Майкрософт.

Будем ли мы продолжать подписывать код, отличный от драйвера, с помощью существующих сторонних сертификатов, выданных после 2021 года?

Да, эти сертификаты будут работать до истечения срока их действия. Код, подписанный с помощью этих сертификатов, сможет выполняться только в пользовательском режиме и не будет разрешено выполняться в ядре, если у него нет действительной подписи Майкрософт.

Смогу ли я продолжать использовать сертификат ev для подписывания отправок в Центр разработки оборудования?

Да, сертификаты EV будут работать до истечения срока их действия. При подписании драйвера в режиме ядра сертификатом EV после истечения срока действия перекрестного сертификата, выдавшего этот сертификат EV, полученный драйвер не будет загружаться, запускаться или устанавливаться.

Разделы справки знать, повлияет ли на мой сертификат подписи эти сроки действия?

Если цепочка между сертификатами заканчивается на Microsoft Code Verification Root, это влияет на сертификат подписи.

Чтобы просмотреть цепочку между сертификатами, выполните команду signtool verify /v /kp <mydriver.sys>. Пример:

Как автоматизировать подписывание тестов Майкрософт для работы с процессами сборки?

Процессы сборки могут вызывать API Центра разработки оборудования.

Примеры использования см. в репозитории Surface Dev Center Manager .

Будет ли корпорация Майкрософт единственным поставщиком сигнатур кода в режиме ядра в рабочей среде с 2021 г.?

Да.

Центр разработки оборудования не предоставляет подписывание драйверов для Windows XP. Как можно запустить драйверы в XP?

Драйверы по-прежнему могут быть подписаны сторонним сертификатом подписи кода. Однако сертификат, подписанный драйвером, должен быть импортирован в Local Computer Trusted Publishers хранилище сертификатов на целевом компьютере. Дополнительные сведения см. в разделе Хранилище сертификатов доверенных издателей .

Чем параметры подписывания в рабочей среде отличаются в разных версиях Windows?

Предупреждение

Перекрестное подписывание больше не принимается для подписывания драйвера. Использование перекрестных сертификатов для подписывания драйверов в режиме ядра является нарушением политики доверенной корневой программы Майкрософт (TRP). TRP больше не поддерживает корневые сертификаты с возможностями подписывания в режиме ядра. Сертификаты, нарушающие политики Microsoft TRP, будут отозваны центром сертификации.

Если драйвер работает в Windows 7, 8 или 8.1, он должен быть подписан в рамках программы совместимости оборудования Windows. Чтобы приступить к работе, см. статью Создание новой отправки оборудования.

Для Windows 10 используйте WHCP или подписывание аттестации.

Если у вас возникли проблемы при подписании драйвера с помощью WHCP, сообщите о них, используя один из следующих вариантов:

• Используйте портал Microsoft Collaborate, доступный на панели мониторинга Центра партнеров Майкрософт, чтобы создать ошибку обратной связи.
• Перейдите в службу поддержки разработчиков Windows, перейдите на вкладку Свяжитесь с нами и в поле Техническая поддержка рядом с полем Разработка и тестирование и сертификация драйверов выберите Отправить инцидент.

Дополнительные сведения

• Регистрация для участия в программе оборудования