取代軟體發行者憑證、商業發行憑證和商業測試憑證
警告
大部分的交叉憑證在 2021 年 7 月到期。 您無法使用鏈結至過期跨憑證的程式碼簽署憑證,為任何版本的 Windows 建立新的核心模式數位簽章。
Microsoft 信任的根程式不再支援具有核心模式簽署功能的根憑證。
如需原則需求,請參閱Windows 10核心模式程式碼簽署需求。
具有核心模式程式碼簽署功能的現有 交叉簽署根憑證 將會繼續運作,直到到期為止。 所有軟體發行者憑證、商業發行憑證,以及鏈結回這些根憑證的商業測試憑證,也會在相同的排程上變成無效。
若要簽署驅動程式,請先 註冊 Windows 硬體開發人員中心計畫。
常見問題集
- 受信任跨憑證的到期排程為何?
- 交叉簽署憑證有哪些替代方案可用於測試驅動程式?
- 現有的已簽署驅動程式套件會發生什麼情況?
- 是否有方法可以執行生產驅動程式套件,而不需將其公開給 Microsoft?
- 是否需要將每個新版本的驅動程式套件重新提交至硬體開發人員中心?
- 在 2021 年之後,我們是否能夠使用現有的協力廠商發行的憑證來簽署非驅動程式程式碼?
- 我是否可以繼續使用 EV 憑證來簽署提交至硬體開發人員中心?
- 如何?知道我的簽署憑證是否會受到這些到期的影響?
- 如何自動化 Microsoft 測試簽署以使用建置程式?
- 從 2021 年開始,Microsoft 是否會是生產核心模式程式碼簽章的唯一提供者?
- 硬體開發人員中心不提供 Windows XP 的驅動程式簽署,如何讓驅動程式在 XP 中執行?
- 生產簽署選項與 Windows 版本有何不同?
受信任跨憑證的到期排程為何?
根據下列排程,大部分的交叉簽署根憑證在 2021 年到期:
| 一般名稱 | 到期日期 |
|---|---|
| VeriSign Class 3 Public Primary Certification Authority - G5 | 2/22/2021 |
| 解除凍結主要根 CA | 2/22/2021 |
| GeoTrust Primary Certification Authority | 2/22/2021 |
| GeoTrust 主要憑證授權單位單位 - G3 | 2/22/2021 |
| 解除凍結主要根 CA - G3 | 2/22/2021 |
| VeriSign Universal Root Certification Authority | 2/22/2021 |
| TC TrustCenter 類別 2 CA II | 4/11/2021 |
| COMODO RSA Certification Authority | 4/11/2021 |
| UTN-USERFirst-Object | 4/11/2021 |
| DigiCert 保證識別碼根 CA | 4/15/2021 |
| DigiCert High Assurance EV Root CA | 4/15/2021 |
| DigiCert Global Root CA | 4/15/2021 |
| Entrust.net Certification Authority (2048) | 4/15/2021 |
| GlobalSign Root CA | 4/15/2021 |
| Go Daddy Root Certificate Authority - G2 | 4/15/2021 |
| Starfield 根憑證授權單位 - G2 | 4/15/2021 |
| NetLock Arany (類別 Gold) Fotanúsítvány | 4/15/2021 |
| NetLock Arany (類別 Gold) Fotanúsítvány | 4/15/2021 |
| NetLock Platina (類別) Fotanúsítvány | 4/15/2021 |
| 安全性通訊 RootCA1 | 4/15/2021 |
| StartCom 憑證授權單位單位 | 4/15/2021 |
| Certum 信任的網路 CA | 4/15/2021 |
| COMODO ECC 憑證授權單位單位 | 4/11/2021 |
交叉簽署憑證有哪些替代方案可用於測試驅動程式?
針對下列所有選項,必須啟用 TESTSIGNING 開機選項 。
如需在開機時測試驅動程式,請參閱 如何安裝 Windows 安裝程式和開機所需的測試簽署驅動程式。
如需詳細資訊,請參閱 開發和測試期間簽署驅動程式。
現有的已簽署驅動程式套件會發生什麼情況?
只要驅動程式套件在分葉簽署憑證到期日之前時間戳記,它們就會繼續運作。
是否有方法可以執行生產驅動程式套件,而不需將其公開給 Microsoft?
否,所有生產驅動程式套件都必須提交至 Microsoft 並簽署。
Microsoft 是否需要簽署每個新的生產版本驅動程式套件?
是,每次重建生產層級驅動程式套件時,都必須由 Microsoft 簽署。
在 2021 年之後,我們是否能夠使用現有的協力廠商發行的憑證來簽署非驅動程式程式碼?
是,這些憑證會繼續運作,直到到期為止。 使用這些憑證簽署的程式碼只能以使用者模式執行,而且除非其具有有效的 Microsoft 簽章,否則不允許在核心中執行。
我是否可以繼續使用 EV 憑證來簽署提交至硬體開發人員中心?
是,EV 憑證會繼續運作,直到到期為止。 如果您在發行該 EV 憑證的交叉憑證到期後,使用 EV 憑證簽署核心模式驅動程式,產生的驅動程式將不會載入、執行或安裝。
如何?知道我的簽署憑證是否會受到這些到期的影響?
如果您的跨憑證鏈結結尾為 Microsoft Code Verification Root ,您的簽署憑證就會受到影響。
若要檢視跨憑證鏈結,請執行 signtool verify /v /kp <mydriver.sys> 。 例如:
![[尋找跨憑證鏈結。]](images/signtoolcrosssigexample.png)
如何自動化 Microsoft 測試簽署以使用建置程式?
您的組建程式可以呼叫 硬體開發人員中心 API。
如需顯示使用量的範例,請參閱 Surface 開發人員中心管理員 存放庫。
從 2021 年開始,Microsoft 是否會是生產核心模式程式碼簽章的唯一提供者?
是的
硬體開發人員中心不提供 Windows XP 的驅動程式簽署,如何讓驅動程式在 XP 中執行?
驅動程式仍然可以使用協力廠商發行的程式碼簽署憑證進行簽署。 不過,簽署驅動程式的憑證必須匯入 Local Computer Trusted Publishers 目的電腦上的憑證存放區。 如需詳細資訊 ,請參閱受信任的發行者憑證存放區 。
生產簽署選項與 Windows 版本有何不同?
警告
不再接受交叉簽署以供驅動程式簽署。 使用跨憑證簽署核心模式驅動程式是違反 Microsoft 信任的根計畫 (TRP) 原則。 TRP 不再支援具有核心模式簽署功能的根憑證。 CA 將會撤銷違反 Microsoft TRP 原則的憑證。
如果您的驅動程式在 Windows 7、8 或 8.1 上執行,您的驅動程式必須透過 Windows 硬體相容性計畫簽署。 若要開始使用,請參閱 建立新的硬體提交。
針對Windows 10,請使用 WHCP 或證明簽署。
如果您有使用 WHCP 簽署驅動程式的挑戰,請使用下列其中一項報告細節:
- 使用 Microsoft Collaborate 入口網站,可透過 Microsoft 合作夥伴中心儀表板取得,以建立意見反應錯誤。
- 移至 Windows 開發人員支援,選取 [與我們 連絡 ] 索引標籤,然後在 [ 技術支援 ] 方塊中,選取 [驅動程式開發和測試/認證] 旁的 [ 提交事件]。
相關資訊
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應