Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Cuidado
A maioria dos certificados cruzados expirou em julho de 2021. Você não pode usar certificados de assinatura de código que encadeiam com certificados cruzados expirados para criar novas assinaturas digitais do modo kernel para qualquer versão do Windows.
O Programa Raiz Confiável da Microsoft não dá mais suporte a certificados raiz que têm recursos de assinatura no modo kernel.
Para obter requisitos de política, consulte os requisitos de assinatura de código do modo kernel do Windows 10.
Os certificados raiz com sinal cruzado existentes com recursos de assinatura de código no modo kernel continuam funcionando até a expiração. Todos os certificados de editor de software, certificados de versão comercial e certificados de teste comercial que se encadeiam a esses certificados raiz também se tornam inválidos no mesmo cronograma.
Para assinar o driver, primeiro registre-se no programa Centro de Desenvolvimento de Hardware do Windows.
Perguntas frequentes
Como posso encontrar o agendamento de expiração dos certificados cruzados confiáveis?
Existem alternativas aos certificados com assinatura cruzada para teste de drivers?
Como meus pacotes de driver assinados existentes são afetados?
Existe uma maneira de executar pacotes de driver de produção sem os expor à Microsoft?
Todas as novas versões de produção de um pacote de driver exigem uma assinatura da Microsoft?
Posso assinar código que não é de driver com certificados existentes emitidos por terceiros?
Como saber se as expirações agendadas podem afetar meu certificado de assinatura?
A Microsoft é o único provedor de assinaturas de código no modo kernel de produção?
Como as opções de assinatura de produção diferem por versão do Windows?
Como posso encontrar o agendamento de expiração dos certificados cruzados confiáveis?
Todos os certificados raiz confiáveis assinados cruzadamente já expiraram.
Existem alternativas para certificados com assinatura cruzada para testar drivers?
Os procedimentos a seguir estão disponíveis. Para todos os métodos, a opção de inicialização TESTSIGNING deve estar habilitada.
- Processo de certificado de teste do MakeCert
- Programa de assinatura de teste do WHQL (Windows Hardware Quality Labs)
- Certificado de teste da CA corporativa
Para testar drivers na inicialização, consulte Como instalar um driver assinado de teste necessário para configuração e inicialização do Windows.
Para obter mais informações, consulte a Introdução aos drivers de assinatura durante o desenvolvimento e o teste.
Como meus pacotes de driver assinados existentes são afetados?
Desde que os pacotes de driver sejam carimbados com data/hora antes da data de validade do certificado de assinatura de folha, os pacotes continuarão funcionando.
Existe uma maneira de executar pacotes de driver de produção sem os expor à Microsoft?
Não, todos os pacotes de driver de produção devem ser enviados e assinados pela Microsoft.
Todas as novas versões de produção de um pacote de driver exigem uma assinatura da Microsoft?
Sim, sempre que um pacote de drivers em nível de produção é recriado, a Microsoft deve assinar o pacote.
Posso assinar código de não-driver com certificados existentes emitidos por terceiros?
Sim, esses certificados continuam funcionando até expirarem. O código assinado usando esses certificados é executado apenas no modo de usuário, a menos que tenha uma assinatura válida da Microsoft.
Posso continuar a usar o certificado EV para assinar envios para o Centro de Desenvolvimento de Hardware?
Sim, os certificados de EV (validação estendida) continuam funcionando até expirarem. Se você assinar um driver em modo kernel com um certificado EV após o certificado cruzado emissor expirar, o driver resultante não será carregado, executado ou instalado.
Como saber se as expirações agendadas podem afetar meu certificado de assinatura?
Se a cadeia de certificados cruzados terminar em Microsoft Code Verification Root, o certificado de assinatura será afetado.
Para exibir a cadeia de certificados cruzados, execute o signtool verify /v /kp <mydriver.sys> comando. Por exemplo:
Como automatizar a Assinatura de Teste da Microsoft para trabalhar com os processos de build da minha organização?
Seus processos de compilação podem chamar a API do Centro de Desenvolvimento de Hardware.
Para obter exemplos que mostram o uso, consulte o repositório SDCM (Surface Dev Center Manager) no GitHub.
A Microsoft é o único provedor de assinaturas de código no modo kernel de produção?
Sim.
Como fazer com que meus drivers possam ser executados no Windows XP quando o Centro de Desenvolvimento de Hardware não fornece assinatura de driver?
Os drivers ainda podem ser assinados digitalmente com um certificado de assinatura de código emitido por terceiros. No entanto, o certificado que assinou o driver deve ser importado para o Local Computer Trusted Publishers repositório de certificados no computador de destino. Para obter mais informações, consulte Repositório de certificados de editores confiáveis.
Como as opções de assinatura de produção diferem por versão do Windows?
Aviso
A assinatura cruzada não é mais aceita para assinatura de driver. O uso de certificados cruzados para assinar drivers no modo kernel é uma violação da política do TRP (Programa Raiz Confiável) da Microsoft. O TRP não é mais compatível com certificados raiz que tenham recursos de assinatura no modo kernel. Os certificados que violarem as políticas de TRP da Microsoft serão revogados pela CA.
Se o driver for executado no Windows 7, 8 ou 8.1, ele deverá ser assinado por meio do Programa de Compatibilidade de Hardware do Windows. Para começar, veja Criar uma nova submissão de hardware.
A partir do Windows 10, use o WHCP (Programa de Compatibilidade de Hardware do Windows) ou a assinatura de atestado.
Se você tiver desafios para assinar seu driver com o WHCP, relate os detalhes usando uma das seguintes opções:
Utilize o portal Microsoft Collaborate disponível por meio do Painel do Microsoft Partner Center e crie um bug de feedback.
Acesse o suporte do desenvolvedor do Windows e selecione a guia Entre em contato conosco . Na caixa de suporte técnico , ao lado de Desenvolvimento e Teste/Certificação do Driver, selecione Enviar um incidente.