Устаревание сертификатов издателя программного обеспечения, коммерческих сертификатов выпуска и коммерческих тестовых сертификатов
Внимание!
Срок действия большинства перекрестных сертификатов истек в июле 2021 г. Вы не можете использовать сертификаты подписи кода, связанные с перекрестными сертификатами с истекшим сроком действия, для создания цифровых подписей в режиме ядра для любой версии Windows.
Доверенная корневая программа Майкрософт больше не поддерживает корневые сертификаты, которые имеют возможности подписывания в режиме ядра.
Требования к политике см. в статье Требования к подписываву кода в режиме ядра Windows 10.
Существующие перекрестные корневые сертификаты с возможностью подписывания кода в режиме ядра будут продолжать работать до истечения срока действия. Все сертификаты издателя программного обеспечения, коммерческие сертификаты выпуска и коммерческие тестовые сертификаты, которые связаны с этими корневыми сертификатами, также становятся недействительными по одному и тому же расписанию.
Чтобы получить подпись драйвера, сначала зарегистрируйтесь в программе Центра разработки оборудования для Windows.
Часто задаваемые вопросы
- Каково расписание истечения срока действия доверенных кросс-сертификатов?
- Какие альтернативы перекрестным сертификатам доступны для тестирования драйверов?
- Что произойдет с существующими подписанными пакетами драйверов?
- Существует ли способ запуска пакетов драйверов в рабочей среде, не предоставляя их корпорации Майкрософт?
- Нужно ли повторно отправлять каждую новую версию пакета драйверов в Центр разработки оборудования?
- Будем ли мы продолжать подписывать код, отличный от драйвера, с помощью существующих сторонних сертификатов, выданных после 2021 года?
- Смогу ли я продолжать использовать сертификат ev для подписывания отправок в Центр разработки оборудования?
- Разделы справки знать, повлияет ли на мой сертификат подписи эти сроки действия?
- Как автоматизировать подписывание тестов Майкрософт для работы с процессами сборки?
- Будет ли корпорация Майкрософт единственным поставщиком сигнатур кода в режиме ядра в рабочей среде с 2021 года?
- Центр разработки оборудования не обеспечивает подписывание драйверов для Windows XP. Как можно запустить драйверы в XP?
- Чем отличаются параметры подписывания в рабочей среде в разных версиях Windows?
Каково расписание истечения срока действия доверенных кросс-сертификатов?
Срок действия большинства подписанных корневых сертификатов истек в 2021 году в соответствии со следующим расписанием:
Общее имя | Срок действия |
---|---|
VeriSign Class 3 Public Primary Certification Authority - G5 | 2/22/2021 |
Размораживание первичного корневого ЦС | 2/22/2021 |
Основной ЦС GeoTrust | 2/22/2021 |
Основной центр сертификации GeoTrust — G3 | 2/22/2021 |
Разморозить первичный корневой ЦС — G3 | 2/22/2021 |
VeriSign Universal Root Certification Authority | 2/22/2021 |
ЦС TC TrustCenter класса 2, ЦС II | 4/11/2021 |
COMODO RSA Certification Authority | 4/11/2021 |
UTN-USERFirst-Object | 4/11/2021 |
Корневой ЦС с гарантированным идентификатором DigiCert | 15.04.2021 |
DigiCert High Assurance EV Root CA | 15.04.2021 |
DigiCert Global Root CA | 15.04.2021 |
ЦС Entrust.net (2048) | 15.04.2021 |
GlobalSign Root CA | 15.04.2021 |
Корневой ЦС Go Daddy — G2 | 15.04.2021 |
Корневой центр сертификации Starfield — G2 | 15.04.2021 |
NetLock Arany (Класс Gold) Fotanúsítvány | 15.04.2021 |
NetLock Arany (Класс Gold) Fotanúsítvány | 15.04.2021 |
NetLock Platina (класс Platinum) Fotanúsítvány | 15.04.2021 |
RootCA1 Communication Security | 15.04.2021 |
Центр сертификации StartCom | 15.04.2021 |
ЦС доверенной сети Certum | 15.04.2021 |
Центр сертификации COMODO ECC | 4/11/2021 |
Какие альтернативы перекрестным сертификатам доступны для тестирования драйверов?
Для всех указанных ниже параметров необходимо включить параметр загрузки TESTSIGNING .
Сведения о тестировании драйверов при загрузке см. в статье Установка драйвера, подписанного тестом, обязательного для установки и загрузки Windows.
Дополнительные сведения см. в разделе Подписывание драйверов во время разработки и тестирования.
Что произойдет с существующими подписанными пакетами драйверов?
До тех пор, пока пакеты драйверов имеют метку времени до даты окончания срока действия сертификата подписи конечной части, они будут продолжать работать.
Существует ли способ запуска пакетов драйверов в рабочей среде, не предоставляя их корпорации Майкрософт?
Нет, все пакеты драйверов в рабочей среде должны быть отправлены в корпорацию Майкрософт и подписаны корпорацией Майкрософт.
Нужно ли подписывать каждую новую рабочую версию пакета драйверов корпорацией Майкрософт?
Да, каждый раз, когда пакет драйверов рабочего уровня перестраивается, он должен подписываться корпорацией Майкрософт.
Будем ли мы продолжать подписывать код, отличный от драйвера, с помощью существующих сторонних сертификатов, выданных после 2021 года?
Да, эти сертификаты будут работать до истечения срока их действия. Код, подписанный с помощью этих сертификатов, сможет выполняться только в пользовательском режиме и не будет разрешено выполняться в ядре, если у него нет действительной подписи Майкрософт.
Смогу ли я продолжать использовать сертификат ev для подписывания отправок в Центр разработки оборудования?
Да, сертификаты EV будут работать до истечения срока их действия. При подписании драйвера в режиме ядра сертификатом EV после истечения срока действия перекрестного сертификата, выдавшего этот сертификат EV, полученный драйвер не будет загружаться, запускаться или устанавливаться.
Разделы справки знать, повлияет ли на мой сертификат подписи эти сроки действия?
Если цепочка между сертификатами заканчивается на Microsoft Code Verification Root
, это влияет на сертификат подписи.
Чтобы просмотреть цепочку между сертификатами, выполните команду signtool verify /v /kp <mydriver.sys>
. Пример:
Как автоматизировать подписывание тестов Майкрософт для работы с процессами сборки?
Процессы сборки могут вызывать API Центра разработки оборудования.
Примеры использования см. в репозитории Surface Dev Center Manager .
Будет ли корпорация Майкрософт единственным поставщиком сигнатур кода в режиме ядра в рабочей среде с 2021 г.?
Да.
Центр разработки оборудования не предоставляет подписывание драйверов для Windows XP. Как можно запустить драйверы в XP?
Драйверы по-прежнему могут быть подписаны сторонним сертификатом подписи кода. Однако сертификат, подписанный драйвером, должен быть импортирован в Local Computer Trusted Publishers
хранилище сертификатов на целевом компьютере. Дополнительные сведения см. в разделе Хранилище сертификатов доверенных издателей .
Чем параметры подписывания в рабочей среде отличаются в разных версиях Windows?
Предупреждение
Перекрестное подписывание больше не принимается для подписывания драйвера. Использование перекрестных сертификатов для подписывания драйверов в режиме ядра является нарушением политики доверенной корневой программы Майкрософт (TRP). TRP больше не поддерживает корневые сертификаты с возможностями подписывания в режиме ядра. Сертификаты, нарушающие политики Microsoft TRP, будут отозваны центром сертификации.
Если драйвер работает в Windows 7, 8 или 8.1, он должен быть подписан в рамках программы совместимости оборудования Windows. Чтобы приступить к работе, см. статью Создание новой отправки оборудования.
Для Windows 10 используйте WHCP или подписывание аттестации.
Если у вас возникли проблемы при подписании драйвера с помощью WHCP, сообщите о них, используя один из следующих вариантов:
- Используйте портал Microsoft Collaborate, доступный на панели мониторинга Центра партнеров Майкрософт, чтобы создать ошибку обратной связи.
- Перейдите в службу поддержки разработчиков Windows, перейдите на вкладку Свяжитесь с нами и в поле Техническая поддержка рядом с полем Разработка и тестирование и сертификация драйверов выберите Отправить инцидент.
Дополнительные сведения
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по