Aracılığıyla paylaş

Sürücü kodu imzalama gereksinimleri

Sürücülerinizi donanım panosuna göndermeden önce bir sertifika ile imzalanmış olmalıdır. Kuruluşunuz istediğiniz sayıda sertifikayı pano hesabıyla ilişkilendirebilir ve gönderimlerinizin her birinin bu sertifikalardan herhangi biriyle imzalanması gerekir. Kuruluşunuzla ilişkili sertifika sayısı (hem genişletilmiş doğrulama (EV) hem de Standart) üzerinde bir kısıtlama yoktur.

Bu makalede, sürücüleriniz için kullanılabilen kod imzalama türleri ve bu sürücüler için ilişkili gereksinimler hakkında genel bilgiler sağlanır.

Sürücü imzalama gereksinimleri hakkında daha kapsamlı bilgi için aşağıdaki sayfalara bakın:

EV kod imzalama sertifikalarını nereden alabilirim?

EV Kodu imzalama sertifikaları aşağıdaki sertifika yetkililerinden birinden satın alınabilir:

EV sertifikası imzalı sürücüler

Donanım Geliştirme Merkezi kontrol paneli hesabınızda, ikili dosyaları onay imzalama için göndermek veya HLK sertifikası için göndermek amacıyla kendisiyle ilişkilendirilmiş en az bir EV sertifikası olmalıdır.

Aşağıdaki kurallar geçerlidir:

  • Kayıtlı EV sertifikanız gönderim sırasında geçerli olmalıdır.
  • Microsoft, EV sertifikası ile tek tek gönderimleri imzalamanızı şiddetle tavsiye eder, ancak alternatif olarak İş Ortağı Merkezi hesabınıza da kayıtlı bir Authenticode imzalama sertifikası ile gönderimleri imzalayabilirsiniz.
  • Tüm sertifikaların SHA2 olması ve SignTool komut satırı anahtarıyla /fd sha256 imzalanması gerekir.

Bir sertifika yetkilisinden onaylı bir EV sertifikanız varsa, bunu kullanarak bir İş Ortağı Merkezi hesabı oluşturabilirsiniz. EV sertifikanız yoksa, sertifika yetkililerinden birini seçin ve satın alma yönergelerini izleyin.

Sertifika yetkilisi iletişim bilgilerinizi doğruladıktan ve sertifika satın alma işleminiz onaylandıktan sonra sertifikayı almak için yönergelerini izleyin.

HLK test edilmiş ve pano imzalı sürücüler

HLK testlerini geçen kontrol paneli imzalı sürücü, Windows Server sürümleri de dahil olmak üzere Windows Vista ve sonrası sürümlerde çalışır. HLK testi, tüm işletim sistemi sürümleri için bir sürücü imzaladığı için sürücü imzalama için önerilen yöntemdir. HLK tarafından test edilen sürücüler, üreticinin harika bir Windows deneyimi sağlamak için donanımlarını güvenilirlik, güvenlik, güç verimliliği, hizmet verilebilirlik ve performansla ilgili tüm Microsoft gereksinimlerini karşılayacak şekilde titizlikle test ettiğini göstermektedir. Test, endüstri standartlarına uyumluluğu ve teknolojiye özgü özellikler için Microsoft belirtimlerine uymayı içerir ve doğru yükleme, dağıtım, bağlantı ve birlikte çalışabilirlik sağlamaya yardımcı olur. HLK test edilmiş bir sürücüyü pano başvurunuz için nasıl oluşturacağınızı öğrenmek üzere, Windows HLK Başlarken bölümüne bakın.

Test senaryoları için Windows 10 kanıtlama imzalı sürücüler

Windows cihaz yüklemesi, sürücü paketlerinin bütünlüğünü ve sürücü paketlerini sağlayan yazılım yayımcısının kimliğini doğrulamak için dijital imzaları kullanır.

Yalnızca test amacıyla, sürücülerinizi kanıtlama imzalaması için gönderebilirsiniz; bu, HLK testi gerektirmez.

Kanıtlama imzalama aşağıdaki kısıtlamalara ve gereksinimlere sahiptir:

  • Kanıtlama imzalı sürücüler perakende hedef kitleleri için Windows Update'te yayımlanamaz. Perakende hedef kitleleri için Windows Update'e bir sürücü yayımlamak için sürücünüzü Windows Donanım Uyumluluk Programı (WHCP) aracılığıyla göndermeniz gerekir. Kanıtlama imzalı sürücülerin test amacıyla Windows Update'te yayımlanması CoDev veya Test Kayıt Defteri Anahtarı / Surface SSRK seçenekleri seçilerek desteklenir.

  • Kanıtlama imzalama yalnızca Windows 10 Desktop ve Windows'un sonraki sürümlerinde çalışır.

  • Kanıtlama imzalama, Windows 10 Masaüstü çekirdek modunu ve kullanıcı modu sürücülerini destekler. Kullanıcı modu sürücülerinin Windows 10 için Microsoft tarafından imzalanması gerekmez, ancak aynı kanıtlama işlemi hem kullanıcı hem de çekirdek modu sürücüleri için kullanılabilir. Windows'un önceki sürümlerinde çalışması gereken sürücüler için Windows sertifikası için HLK/HCK test günlüklerini göndermeniz gerekir.

  • Kanıtlama imzalama, ELAM veya Windows Hello PE ikili dosyaları için uygun PE Düzeyini döndürmez. Ek imza özniteliklerini almak için bu ikili dosyaların test edilmesi ve .hlkx paketleri olarak gönderilmesi gerekir.

  • Kanıtlama imzalama, sürücüyü İş Ortağı Merkezi'ne (Donanım Geliştirme Merkezi Panosu) göndermek için genişletilmiş doğrulama (EV) Sertifikası kullanılmasını gerektirir.

  • Kanıtlama imzalama, sürücü klasör adlarının özel karakter içermesini, UNC dosya paylaşımı yolu içermesini ve 40 karakterden az olmasını gerektirir.

  • Bir sürücü onay imzalaması aldığında, Windows sertifikasına sahip değildir. Microsoft'un kanıtlama imzası, sürücüye Windows tarafından güvenildiğini gösterir. Ancak sürücü HLK Studio'da test edilmemiş olduğundan uyumluluk, işlevsellik vb. konusunda hiçbir güvence sağlanmamıştır. Kanıtlama imzalaması alan bir sürücü Windows Update aracılığıyla perakende hedef kitlelerine yayımlanamaz. Sürücünüzü perakende hedef kitlelerine yayımlamak istiyorsanız, sürücünüzü Windows Donanım Uyumluluk Programı (WHCP) aracılığıyla göndermeniz gerekir.

  • DUA (Sürücü Güncellemesi Kabul Edilebilir), tasdik kullanılarak imzalanan sürücüleri desteklemez.

  • Aşağıdaki PE düzeyleri ve ikili dosyaları Kanıtlama aracılığıyla işlenebilir:

    • PeTrust
    • DrmLevel
    • HAL
    • .exe
    • .cab
    • .dll
    • .ocx
    • .msi
    • .xpi
    • .xap

Windows 10+ sürücüleri için doğrulama imzalı sürücü oluşturma hakkında bilgi için bkz. Doğrulama imzalı Windows 10+ sürücüleri.

Windows Server imzalı sürücüler

  • Windows Server 2016 ve üzeri, doğrulanmış cihaz ve filtre sürücüsü imzalama gönderimlerini kabul etmez.
  • Pano yalnızca HLK testlerini başarıyla geçen cihaz ve filtre sürücülerini imzalar.
  • Windows Server 2016 ve üzeri yalnızca HLK testlerini başarıyla geçen pano imzalı sürücüleri yükler.

Windows Defender Uygulama Denetimi

Kuruluşlar, Windows 10 Enterprise sürümünü kullanarak sürücü imzalama gereksinimlerini değiştirmek için bir ilke uygulayabilir. Windows Defender Uygulama Denetimi (WDAC), kurumsal tanımlı bir kod bütünlüğü ilkesi sağlar ve bu ilke, en az kanıtlama imzalı bir sürücü gerektirecek şekilde yapılandırılabilir. WDAC hakkında daha fazla bilgi için bkz. Windows Defender Uygulama Denetimi dağıtım işlemini planlama ve kullanmaya başlama.

Windows sürücüsü imzalama gereksinimleri

Aşağıdaki tabloda Windows için sürücü imzalama gereksinimleri özetlemektedir:

Sürüm Doğrulama Panosu İmzalandı HLK Testi Geçirilen Pano İmzalı 29 Temmuz 2015 tarihinden önce verilen sha-1 sertifikası kullanılarak çapraz imzalı
Windows Vista Hayı Evet Evet
Windows 7 Hayı Evet Evet
Windows 8 / 8.1 Hayı Evet Evet
Windows 10 Evet Evet Hayır (Windows 10 1809 itibariyle)
Windows 10 - DG Etkinleştirildi *Yapılandırmaya Bağımlı *Yapılandırmaya Bağımlı *Yapılandırmaya Bağımlı
Windows Server 2008 R2 Hayı Evet Evet
Windows Server 2012 R2 Hayı Evet Evet
Windows Server >= 2016 Hayı Evet Evet
Windows Server >= 2016 – DG Etkinleştirildi *Yapılandırmaya Bağımlı *Yapılandırmaya Bağımlı *Yapılandırmaya Bağımlı
Windows IoT Enterprise Evet Evet Evet
Windows IoT Enterprise- DG Etkin *Yapılandırmaya Bağımlı *Yapılandırmaya Bağımlı *Yapılandırmaya Bağımlı
Windows IoT Core(1) Evet (Gerekli Değil) Evet (Gerekli Değil) Evet (Çapraz imzalama, 29 Temmuz 2015'te verilen sertifikalar için de çalışır)

*Yapılandırmaya bağımlı – Windows 10 Enterprise sürümüyle kuruluşlar, özel imzalama gereksinimlerini tanımlamak için Windows Defender Uygulama Denetimi'ni (WDAC) kullanabilir. WDAC hakkında daha fazla bilgi için bkz. Windows Defender Uygulama Denetimi dağıtım işlemini planlama ve kullanmaya başlama.

(1) IoT Core ile perakende ürün üreten üreticiler için (yani, geliştirme amacı dışında) sürücü imzalama gereklidir. Onaylanan Sertifika Yetkililerinin (CA) listesi için bkz. Çekirdek Modu Kod İmzalama için Çapraz Sertifikalar. UEFI Güvenli Önyükleme etkinleştirildiyse, sürücülerin imzalanması gerekir.