要获得微软的数字签名,驱动程序必须通过微软的严格测试和认证流程,以确保其兼容性、安全性和稳定性。以下是详细的步骤指南:
1. 注册为微软合作伙伴
加入Microsoft Partner Network
访问微软合作伙伴中心,注册账户并完成公司验证。
获取EV代码签名证书
微软要求驱动程序必须使用扩展验证(EV)证书签名。需从受信任的证书颁发机构(如DigiCert、GlobalSign)购买EV证书。
2. 准备驱动程序开发
遵循开发规范
确保驱动程序符合Windows Driver Kit (WDK)的编程规范,避免使用未公开API。
配置项目文件
在Visual Studio中使用WDK创建驱动程序项目,正确配置.inf文件、版本号及数字签名信息。
3. 使用Windows Hardware Lab Kit (HLK) 测试
设置测试环境
安装Windows HLK,配置测试机(物理或虚拟机)并连接至HLK控制器。
运行兼容性测试
选择与驱动程序相关的测试用例(如稳定性、PnP、电源管理等),确保全部通过。
生成HLK提交包
测试通过后,生成.hlkx文件(包含驱动程序、测试结果及元数据)。
4. 提交至微软认证门户
登录Azure DevOps仪表板
通过Windows Hardware Dev Center提交.hlkx文件。
填写提交信息
提供驱动程序描述、兼容操作系统版本(如Windows 10/11)、硬件ID等元数据。
支付认证费用(如适用)
部分认证类型可能需要支付费用,具体参考微软最新政策。
5. 微软审核与签名
自动/人工审核
微软系统会自动检查提交内容,复杂情况可能触发人工审核(通常需1-7个工作日)。
获取签名文件
审核通过后,微软会将签名的驱动程序(.cat文件)返回至开发者账户,同时驱动文件本身会被嵌入数字签名。
6. 部署已签名驱动
替换测试签名(如适用)
若之前使用测试签名(如SignTool /devtest),需替换为微软正式签名。
发布到Windows Update(可选)
通过Windows Update Publishing Portal提交,供用户自动下载更新。
注意事项
强制签名要求
Windows 64位系统仅允许加载已签名的驱动,测试模式下可临时禁用(bcdedit /set testsigning on)。
签名失效场景
驱动更新需重新认证,且EV证书过期会导致签名失效。
调试失败问题
若审核失败,通过Dev Center查看详细错误日志,常见问题包括未通过HLK测试、.inf配置错误等。
验证签名状态
命令行工具
bash
复制
signtool verify /v /kp YourDriver.sys
设备管理器
右键设备 → 属性 → 数字签名,查看微软签名信息。
通过以上流程,驱动程序将获得微软的正式数字签名,确保其可在所有Windows系统上安全运行。如需进一步优化,建议参考微软官方文档获取最新指南。
