Compartilhar via


Desativação de certificados de editor de software, certificados de liberação comercial e certificados de teste comercial

Cuidado

A maioria dos certificados cruzados expirou em julho de 2021. Você não pode usar certificados de assinatura de código que encadeiam certificados cruzados expirados para criar novas assinaturas digitais no modo kernel para qualquer versão do Windows.

O Programa Raiz Confiável da Microsoft não dá mais suporte a certificados raiz que têm recursos de assinatura no modo kernel.

Para obter os requisitos da política, consulte Requisitos de assinatura de código do modo kernel do Windows 10.

Os existentes certificados raiz de assinatura cruzada existentes com recursos de assinatura de código no modo kernel continuarão funcionando até a expiração. Todos os certificados de editor de software, certificados de versão comercial e certificados de teste comercial que se encadeiam de volta a esses certificados raiz também se tornam inválidos no mesmo agendamento.

Para assinar o driver, primeiro registre-se no programa Centro de Desenvolvimento de Hardware do Windows.

Perguntas frequentes

Qual é o cronograma de expiração dos certificados cruzados confiáveis?

Todos os certificados raiz com assinatura cruzada expiraram.

Quais alternativas aos certificados com assinatura cruzada estão disponíveis para testar os drivers?

Para todas as opções abaixo, a opção de inicialização TESTSIGNING deve estar habilitada.

Para testar drivers na inicialização, consulte Como instalar um driver assinado por teste necessário para a instalação e a inicialização do Windows.

Para obter mais informações, consulte Assinatura de drivers durante o desenvolvimento e teste.

O que acontecerá com meus pacotes de driver assinados existentes?

Desde que os pacotes de driver tenham registro de data e hora antes da data de expiração do certificado de assinatura de folha, eles continuarão funcionando.

Existe uma maneira de executar pacotes de driver de produção sem os expor à Microsoft?

Não, todos os pacotes de driver de produção devem ser enviados e assinados pela Microsoft.

Cada nova versão de produção de um pacote de driver precisa ser assinada pela Microsoft?

Sim, sempre que um pacote de driver de nível de produção é recriado, ele deve ser assinado pela Microsoft.

Podemos assinar código que não seja do driver com nossos certificados emitidos por terceiros?

Sim, esses certificados continuam funcionando até expirarem. O código assinado usando esses certificados só é executado no modo de usuário, a menos que tenha uma assinatura válida da Microsoft.

Poderei continuar usando meu certificado EV para assinar envios para o Centro de Desenvolvimento de Hardware?

Sim, os certificados EV continuarão funcionando até expirarem. Se você assinar um driver de modo kernel com um certificado EV após a expiração do certificado cruzado que emitiu esse certificado EV, o driver resultante não será carregado, executado ou instalado.

Como posso saber se meu certificado de assinatura será afetado por essas expirações?

Se a cadeia de certificados cruzados terminar em Microsoft Code Verification Root, o certificado de assinatura está afetado.

Para exibir a cadeia de certificados cruzados, execute signtool verify /v /kp <mydriver.sys>. Por exemplo:

[Encontrando a cadeia de certificados cruzados].

Como podemos automatizar a assinatura de testes da Microsoft para trabalhar com nossos processos de compilação?

Seus processos de compilação podem chamar a API do Centro de Desenvolvimento de Hardware.

Para obter exemplos que mostram o uso, consulte o Repositório do Gerenciador do Centro de Desenvolvimento do Surface.

A Microsoft é o único fornecedor de assinaturas de código do modo kernel de produção?

Sim.

O Centro de Desenvolvimento de Hardware não fornece assinatura de driver para Windows XP, como posso executar meus drivers no XP?

Os drivers ainda podem ser assinados com um certificado de assinatura de código emitido por terceiros. No entanto, o certificado que assinou o driver deve ser importado para o Local Computer Trusted Publishers repositório de certificados no computador de destino. Consulte Repositório de certificados de editores confiáveis para obter mais informações.

Como as opções de assinatura de produção diferem por versão do Windows?

Aviso

A assinatura cruzada não é mais aceita para assinatura de driver. O uso de certificados cruzados para assinar drivers no modo kernel é uma violação da política do TRP (Programa Raiz Confiável) da Microsoft. O TRP não é mais compatível com certificados raiz que tenham recursos de assinatura no modo kernel. Os certificados que violarem as políticas de TRP da Microsoft serão revogados pela CA.

Se o driver for executado no Windows 7, 8 ou 8.1, ele deverá ser assinado por meio do Programa de Compatibilidade de Hardware do Windows. Para começar, consulte Criar um novo envio de hardware.

A partir do Windows 10, use o WHCP ou a assinatura do atestado.

Se você tiver dificuldades para assinar seu driver com o WHCP, informe os detalhes usando uma das seguintes opções: