Windows驱动签名,还需要使用EV代码签名证书吗?
Windows驱动程序承担着硬件与系统交互的重要角色,确保驱动程序的兼容性、稳定性、可信性、安全性是Windows系统安全的重要部分。
在2021年4月之前,开发者只需要使用微软交叉签名的第三方EV代码签名证书签名内核驱动程序,就可以在系统中正常运行。但是,从2021年4月开始,微软不再提供微软交叉签名给第三方EV代码签名证书,为驱动程序进行内核数字签名。取而代之的是需要对驱动程序做WHQL认证,获得微软官方的数字签名,才能在系统中正常运行。
微软政策调整后,很多开发者会产生疑惑,有了WHQL认证,Windows驱动签名还需要使用EV代码签名证书吗?答案是肯定的,Windows驱动签名仍需使用EV代码签名证书。
什么是WHQL认证?
首先介绍一下,微软WHQL认证是什么?
WHQL即Windows硬件设备质量实验室(Windows Hardware Quality Lab,缩写为WHQL),这个实验室是微软设立的,主要对硬件产品、驱动程序在Windows操作系统中的兼容性和稳定性进行测试。新的驱动程序必须完成WHQL的相关测试,才能获取微软官方的数字签名,这个过程就是WHQL认证。
通过WHQL认证的驱动程序具备更好的兼容性、稳定性,可以在Windows系统正常运行,消除警告;可以收录到微软Windows 目录及HCL硬件兼容列表;可以获得微软授权,在产品和包装上使用“Designed for Windows”等微软徽标;可以直接通过Windows Update更新驱动等等。
有了WHQL认证,还需要使用EV代码签名证书吗?
WHQL认证是以提升硬件产品、驱动程序兼容性、稳定性、互通性为主要目标,而验证软件开发商身份真实性、保护软件代码完整性,仍需要使用EV代码签名证书。EV代码签名证书在WHQL认证过程中必不可少,主要用于以下用途。
用途1:注册Windows硬件开发者中心门户帐户
驱动程序开发者必须通过Windows硬件开发者中心门户,向微软提交驱动程序,而注册门户时必须拥有一张有效的EV代码签名证书。无论您的驱动程序计划支持哪个版本的Windows系统,如果需要通过Windows硬件开发者中心门户提交驱动程序,都需要先申请一张EV代码签名证书用于注册门户帐户。
用途2:数字签名驱动程序文件
完成WHQL认证后,微软会下发签有“Microsoft Windows Hardware Compatibility Publisher”驱动目录文件,将此文件附在驱动的同一目录下,驱动程序就获得了微软官方的数字签名。
但是,WHQL 仅对驱动程序包目录文件进行签名,不会将签名嵌入驱动程序文件,微软发布签名的证书也不包含开发者的身份认证信息。因此,开发者将驱动程序提交WHQL认证之前,必须先使用已认证开发者身份的EV代码签名证书对驱动程序进行数字签名。开发者可通过微软推荐的证书颁发机构获取EV代码签名证书。
沃通“EV代码签名证书+WHQL认证服务”
沃通CA提供的DigiCert EV代码签名证书,由微软官方推荐的证书颁发机构签发,符合微软要求,可用于注册Windows硬件开发者中心门户账号、签名驱动程序文件。
沃通CA还提供WHQL认证服务,协助开发者根据微软要求完成驱动程序的WHQL测试及认证。开发者无需额外投入资源建立WHQL测试环境,无需额外投入人力、精力去梳理WHQL认证流程,了解驱动测试注意事项,由沃通一站式提供“EV代码签名证书+WHQL认证服务”,轻松快捷地完成微软WHQL认证,确保驱动程序在Windows上顺畅运行。
更多WHQL认证、代码签名证书相关信息,欢迎访问沃通官网(wosign.com)咨询。
参考
- DigiCert EV代码签名证书 https:.wosign.com/Products/digicert_CodeSigning_EV.htm
- Windows徽标认证服务(WHQL认证) https:wosign.com/Products/WHQL.html