获取设备驱动数字签名证书需根据用途选择不同方案,以下是详细流程及注意事项:
一、选择证书类型
WHQL认证签名(商业发布首选)
适用场景:需通过Windows Update推送或商业分发驱动。
流程:
注册微软合作伙伴账户并加入Windows硬件开发者计划。
从微软信任的CA(如DigiCert、Sectigo)购买EV代码签名证书(需硬件令牌存储私钥)。
使用HLK/HCK测试驱动兼容性,提交至微软认证门户审核。
费用:约500-1000美元(含EV证书年费+微软认证费)。
自签名/第三方交叉签名(仅限测试)
适用场景:内部测试或非商业用途。
缺点:需手动禁用驱动签名强制(bcdedit /set testsigning on),且64位系统限制严格。
工具:OpenSSL或Windows SDK的makecert生成测试证书。
二、关键注意事项
EV证书要求
必须使用硬件令牌(如USB Key)存储私钥,确保安全性。
证书颁发机构需通过微软审核。
签名策略变更
Windows 10/11 1607后仅支持SHA256算法签名。
2023年起内核驱动需通过微软附加安全审查。
时间戳服务
签名时需嵌入时间戳,确保证书过期后签名仍有效。
三、替代方案:WHQL认证
优势:微软官方签发签名,兼容性最佳。
流程:
提交驱动至微软硬件仪表板,通过WHQL测试后自动获得签名。
驱动可分发至Windows Update或企业内网。
四、扩展资源
注:自2021年起,微软不再接受第三方商业证书签名驱动,建议优先选择WHQL认证。
