本教程概述并详细介绍了在一个统一的位置为 Windows 签署驱动程序二进制文件的步骤。 以下子主题描述了该过程:
概述
Windows 要求在内核模式下运行的所有软件(包括驱动程序)进行数字签名才能加载。
通过 Microsoft 认证您的驱动程序,Microsoft 为其提供签名。 当驱动程序包通过认证测试时,Windows 硬件质量实验室(WHQL) 可以对其进行签名。 如果 WHQL 对驱动程序包进行签名,则可以通过 Windows 更新程序或其他Microsoft支持的分发机制进行分发。
注意
必需的内核模式代码签名策略适用于在 Windows Vista 和更高版本的 Windows 上运行的基于 x64 的系统的所有内核模式软件。 但是,Microsoft鼓励发布者对所有内核模式软件进行数字签名,包括 32 位系统的设备驱动程序(包括用户模式驱动程序)。 Windows Vista 和更高版本的 Windows,验证 32 位系统上的内核模式签名。 支持受保护媒体内容的软件必须进行数字签名,即使它是 32 位。
用户模式驱动程序签名
用户模式驱动程序不需要数字签名,但出于安全考虑,我们建议使用。 从 Windows 8 开始,可能需要签名,但签名并不普遍适用。
- Microsoft建议对用户模式驱动程序进行签名,以确保完整性和安全性。
- 签名有助于验证供应商的身份和驱动程序包的完整性。
用户模式驱动程序(如打印机驱动程序)在基于 x64 的计算机上安装和工作。 安装过程中向用户显示一个对话框,要求批准安装驱动程序。 必须对这些驱动程序包进行签名才能继续安装。
这些资源更详细地描述了驱动程序签名:
主要驱动程序签名文章
Kernel-Mode 代码签名演练中的子主题“如何为内核模块进行发布签名” 介绍了对内核模式代码签名的必要知识。 文档中的信息也适用于对用户模式驱动程序进行签名。
selfsign_readme.htm 文件位于 Windows 驱动程序工具包(WDK)安装中的 自签名 目录中。