Dépréciation des certificats d’éditeur de logiciels, des certificats de mise en production commerciale et des certificats de test commerciaux
Attention
La majorité des certificats croisés a expiré en juillet 2021. Vous ne pouvez pas utiliser de certificats de signature de code qui s’enchaînent à des certificats croisés expirés pour créer de nouvelles signatures numériques en mode noyau pour n’importe quelle version de Windows.
Le programme racine approuvé Microsoft ne prend plus en charge les certificats racines qui ont des fonctionnalités de signature en mode noyau.
Pour connaître les exigences de stratégie, consultez Windows 10 exigences en matière de signature de code en mode noyau.
Les certificats racines signés entre les deux avec des fonctionnalités de signature de code en mode noyau continueront de fonctionner jusqu’à l’expiration. Tous les certificats d’éditeur de logiciels, les certificats de mise en production commerciale et les certificats de test commerciaux qui reviennent à ces certificats racine deviennent également non valides selon la même planification.
Pour obtenir la signature de votre pilote, commencez par vous inscrire au programme Centre de développement matériel Windows.
Forum aux questions
- Quelle est la planification d’expiration des certificats croisés approuvés ?
- Quelles alternatives aux certificats signés croisés sont disponibles pour tester les pilotes ?
- Qu’adviendra-t-il de mes packages de pilotes signés existants ?
- Existe-t-il un moyen d’exécuter des packages de pilotes de production sans les exposer à Microsoft ?
- Est-ce que chaque nouvelle version de mon package de pilotes doit être de nouveau soumis au Centre de développement matériel ?
- Allons-nous continuer à signer du code non-pilote avec nos certificats émis par nos tiers existants après 2021 ?
- Puis-je continuer à utiliser mon certificat EV pour signer des soumissions au Centre de développement matériel ?
- Comment faire savoir si mon certificat de signature sera impacté par ces expirations ?
- Comment pouvons-nous automatiser la signature de test Microsoft pour qu’elle fonctionne avec nos processus de build ?
- À compter de 2021, Microsoft sera-t-il le seul fournisseur de signatures de code en mode noyau de production ?
- Le Centre de développement matériel ne fournit pas de signature de pilote pour Windows XP. Comment puis-je faire exécuter mes pilotes dans XP ?
- En quoi les options de signature de production diffèrent-elles selon la version de Windows ?
Quelle est la planification d’expiration des certificats croisés approuvés ?
La majorité des certificats racine signés entre elles ont expiré en 2021, selon la planification suivante :
Nom commun | Date d'expiration |
---|---|
VeriSign Class 3 Public Primary Certification Authority – G5 | 2/22/2021 |
thawte Autorité de certification racine principale | 2/22/2021 |
GeoTrust Primary Certification Authority | 2/22/2021 |
Autorité de certification principale de GeoTrust - G3 | 2/22/2021 |
thawte Autorité de certification racine principale - G3 | 2/22/2021 |
VeriSign Universal Root Certification Authority | 2/22/2021 |
TC TrustCenter Classe 2 CA II | 4/11/2021 |
COMODO RSA Certification Authority | 4/11/2021 |
UTN-USERFirst-Object | 4/11/2021 |
Autorité de certification racine d’ID garanti DigiCert | 15/04/2021 |
DigiCert High Assurance EV Root CA | 15/04/2021 |
DigiCert Global Root CA | 15/04/2021 |
Entrust.net Certification Authority (2048) | 15/04/2021 |
GlobalSign Root CA | 15/04/2021 |
Go Daddy Root Certificate Authority - G2 | 15/04/2021 |
Autorité de certification racine de Starfield - G2 | 15/04/2021 |
NetLock Arany (Classe Or) Fotanúsítvány | 15/04/2021 |
NetLock Arany (Classe Or) Fotanúsítvány | 15/04/2021 |
NetLock Platina (classe Platinum) Fotanúsítvány | 15/04/2021 |
Security Communication RootCA1 | 15/04/2021 |
Autorité de certification StartCom | 15/04/2021 |
Autorité de certification de réseau approuvé Certum | 15/04/2021 |
Autorité de certification ECC COMODO | 4/11/2021 |
Quelles alternatives aux certificats signés croisées sont disponibles pour tester les pilotes ?
Pour toutes les options ci-dessous, l’option de démarrage TESTSIGNING doit être activée.
- Processus MakeCert
- Programme de signature de test WHQL
- Processus d’autorité de certification d’entreprise
Pour tester les pilotes au démarrage, consultez Installation d’un pilote signé par un test requis pour le programme d’installation et le démarrage de Windows.
Pour plus d’informations, consultez Signature de pilotes pendant le développement et le test.
Qu’adviendra-t-il de mes packages de pilotes signés existants ?
Tant que les packages de pilotes sont horodatés avant la date d’expiration du certificat de signature feuille, ils continuent de fonctionner.
Existe-t-il un moyen d’exécuter des packages de pilotes de production sans les exposer à Microsoft ?
Non, tous les packages de pilotes de production doivent être soumis à et signés par Microsoft.
Chaque nouvelle version de production d’un package de pilotes doit-elle être signée par Microsoft ?
Oui, chaque fois qu’un package de pilotes de niveau production est reconstruit, il doit être signé par Microsoft.
Allons-nous continuer à signer du code non-pilote avec nos certificats émis par nos tiers existants après 2021 ?
Oui, ces certificats continueront de fonctionner jusqu’à leur expiration. Le code signé à l’aide de ces certificats ne pourra s’exécuter qu’en mode utilisateur et ne sera pas autorisé à s’exécuter dans le noyau, sauf s’il dispose d’une signature Microsoft valide.
Puis-je continuer à utiliser mon certificat EV pour signer des soumissions au Centre de développement matériel ?
Oui, les certificats EV continueront de fonctionner jusqu’à leur expiration. Si vous signez un pilote en mode noyau avec un certificat EV après l’expiration du certificat croisé qui a émis ce certificat EV, le pilote résultant ne se chargera pas, ne s’exécutera ni ne sera installé.
Comment faire savoir si mon certificat de signature sera impacté par ces expirations ?
Si votre chaîne de certificats croisés Microsoft Code Verification Root
se termine par , votre certificat de signature est affecté.
Pour afficher la chaîne de certificats croisés, exécutez signtool verify /v /kp <mydriver.sys>
. Par exemple :
Comment pouvons-nous automatiser la signature de test Microsoft pour qu’elle fonctionne avec nos processus de build ?
Vos processus de génération peuvent appeler l’API du Centre de développement matériel.
Pour obtenir des exemples qui montrent l’utilisation, consultez le référentiel Surface Dev Center Manager .
À compter de 2021, Microsoft sera-t-il le seul fournisseur de signatures de code en mode noyau de production ?
Oui.
Le Centre de développement matériel ne fournit pas de signature de pilote pour Windows XP. Comment puis-je faire exécuter mes pilotes dans XP ?
Les pilotes peuvent toujours être signés avec un certificat de signature de code émis par une tierce partie. Toutefois, le certificat qui a signé le pilote doit être importé dans le magasin de Local Computer Trusted Publishers
certificats sur l’ordinateur cible. Pour plus d’informations, consultez Magasin de certificats d’éditeurs approuvés.
En quoi les options de signature de production diffèrent-elles selon la version de Windows ?
Avertissement
La signature croisée n’est plus acceptée pour la signature de pilote. L’utilisation de certificats croisés pour signer des pilotes en mode noyau constitue une violation de la stratégie TRP (Programme racine de confiance Microsoft ). Le TRP ne prend plus en charge les certificats racines qui ont des fonctionnalités de signature en mode noyau. Les certificats en violation des stratégies TRP Microsoft seront révoqués par l’autorité de certification.
Si votre pilote s’exécute sur Windows 7, 8 ou 8.1, votre pilote doit être signé via le Programme de compatibilité matérielle Windows. Pour commencer, consultez Créer une soumission de matériel.
Pour Windows 10, utilisez WHCP ou la signature d’attestation.
Si vous rencontrez des difficultés pour signer votre pilote avec WHCP, veuillez signaler les détails à l’aide de l’un des éléments suivants :
- Utilisez le portail Microsoft Collaborate, disponible via le tableau de bord de l’Espace partenaires Microsoft, pour créer un bogue de commentaires.
- Accédez à Support pour les développeurs Windows, sélectionnez l’onglet Nous contacter et, dans la zone Support technique , en regard de Développement et de test de pilotes/certification, sélectionnez Envoyer un incident.