微软对驱动程序有特定的签名要求,主要包括以下几个方面:
一、证书要求
EV代码签名证书:
驱动程序必须使用扩展验证(EV)代码签名证书进行签名。EV证书提供了比标准代码签名证书更高的安全性和可信度,因为它经过了更严格的验证过程。
证书有效性:
用于签名的EV证书在提交时必须有效,且未过期。
证书关联:
硬件开发人员中心仪表板账户必须至少有一个有效的EV证书与其关联,以便提交驱动程序进行签名。
二、签名过程要求
使用SHA2算法:
所有证书都必须采用SHA2算法进行签名,通常使用/fd sha256 SignTool命令行开关。
签名文件要求:
驱动程序文件夹名称不能包含特殊字符,不能有UNC文件共享路径,且长度应少于40个字符。
三、测试与认证要求
HLK/HCK测试:
驱动程序建议通过Windows硬件质量实验室(WHQL)的测试,即HLK(或旧版的HCK)测试。这证明了驱动程序经过了制造商的严格测试,满足了微软在可靠性、安全性、功率效率、易维护性和性能方面的要求。
仪表板签名:
通过了HLK测试的驱动程序可以在Windows硬件开发人员中心仪表板进行签名,适用于Windows Vista及更高版本(包括Windows Server版本)。
四、其他要求
证明签名:
对于某些测试场景,驱动程序可以进行证明签名,但这仅适用于Windows 10桌面版及更高版本。证明签名的驱动程序不能发布到面向零售用户的Windows更新,但可以用于测试目的。
发布要求:
若要将驱动程序发布到面向零售受众的Windows更新,则必须通过Windows硬件兼容性计划(WHCP)提交该驱动程序。
企业策略:
企业可以使用Windows 10企业版版本实施策略来修改驱动程序签名要求,例如通过Windows Defender应用程序控制(WDAC)定义自定义签名要求。
综上所述,微软对驱动程序的签名要求涵盖了证书类型、签名过程、测试与认证以及其他相关方面。这些要求确保了驱动程序的合法性、安全性和兼容性,为用户提供了更好的Windows体验。
