由于受微软信任的Digicert,Entrust,Sectigo,Thawte等第三方驱动代码签名交叉证书已全部过期,微软不再接受EV代码签名证书为驱动程序进行内核数字签名。那么现在又该如何做驱动签名呢?
首先了解一下什么是驱动数字签名。
什么是驱动数字签名
驱动数字签名是指运用在驱动上的数字签名,这种签名就如同文件上的签章,认证驱动程序的签发者身份。有了数字签名的驱动操作系统会认为它是安全的、稳定的、有版权的驱动,安装的时候也会明显更顺畅,可以让用户放心加载使用。
驱动程序数字签名解决方案—WHQL认证
鉴于微软的最新要求,微软从2021年4月底开始不再接受代码签名证书给驱动程序进行数字签名(注意:普通非驱动类软件依然可以使用代码签名证书),取而代之的是需要对驱动程序做WHQL认证(微软徽标认证)。换言之,驱动程序的发行机构或硬件产品生产商需要为驱动程序申请微软的WHQL认证,从而获得微软官方的数字签名证书。
要获得 Windows 发行的驱动数字签名需要将硬件和驱动通过微软的 WHQL认证,认证完成后微软会下发签有“Microsoft Windows Hardware Compatibility Publisher”驱动 以及catalog 文件,使用微软签发的驱动和catalog文件来安装,这个驱动就是微软认证的驱动。正常情况下在Windows系统上可以很流畅地安装,安装完成后,在设备管理器中安装的驱动设备右击查看属性,Driver界面中你可以看到Digital Signer :” Microsoft Windows Hardware Compatibility Publisher”。
(经WHQL认证签名的驱动可查看签名证书详情)
如果驱动没有做WHQL认证签名,那么在安装时会提示“Windows无法验证此驱动程序软件的发布者”或驱动没有效数字签名之类的警告,如下图:
(未签名的驱动安装时弹出的警告提示)
而且,没有数字签名的驱动程序安装到 Windows中后,在设备管理器里,设备会显示感叹号,无法启动工作,如下图:
所以,为了确保驱动程序在安装时不被Windows拦截警告,让用户能够顺畅安装、启动、运行驱动,选择WHQL测试认证签名是软件开发商为驱动程序实现数字签名的最佳的方案。
由于在微软申请WHQL签名认证过程比较复杂,耗费时间也较长。锐成信息作为一家专注于数字证书领域近十年的服务商,拥有成熟的 WHQL 测试经验和相关技术,可为广大驱动开发者提供WHQL认证服务,让驱动程序获得微软的数字签名,并在Windows上顺畅运行!
关于WHQL认证服务,请详询锐成信息客服了解更多。
本文转载于https://www.racent.com/blog/whql-release-signature-for-driver-packages
来源:freebuf.com 2021-06-22 11:35:08 by: 锐成信息Racent
请登录后发表评论
注册