从 Windows Vista开始,微软在x64位的系统上强制推行数字签名,没有经过WHDL和RDS认证并数字签名的硬件驱动程序将无法在Vista x64版本上成功安装。在后续的Vista版本上,微软会逐步加强对数字签名的要求,最终要求所有的应用程序必须经过签名才能在Windows系统上运行。
本指南由 WoSign 根据微软网站上有关资料翻译和整理,请同时参考微软网站以下英文原文:
• 内核模式驱动签名要求小结: http://www.microsoft.com/whdc/winlogo/drvsign/drvsign_perOS.mspx
• Windows 驱动签名要求: http://www.microsoft.com/whdc/winlogo/drvsign/drvsign.mspx
• Windows Vista x64 位系统的内核模式数字签名: http://www.microsoft.com/whdc/system/platform/64bit/kmsigning.mspx
• Windows Vista 内核模式签名指南: http://www.microsoft.com/whdc/winlogo/drvsign/kmcs_walkthrough.mspx
• Windows Vista 即插即用设备 (PnP) 驱动签名指南: http://www.microsoft.com/whdc/winlogo/drvsign/pnp-driver.mspx
• Windows Vista 内核模式签名交叉证书使用指南: http://www.microsoft.com/whdc/winlogo/drvsign/crosscert.mspx
• Windows Vista PMP 签名指南: http://www.microsoft.com/whdc/winlogo/drvsign/Pmp-sign.mspx
• Windows 系列操作系统驱动签名基础知识: http://www.microsoft.com/whdc/winlogo/drvsign/best_practices.mspx
并请同时参考:微软徽标认证常见问题问答: http://www.wotrust.com/FAQ/Designed_for_Windows_Logo_FAQ.htm
对于电脑硬件设备制造商或相关软件开发商的 CTO/CSO 以及相关工程师的确有必要仔细阅读以上 8 个文档,非常重要的,只可惜微软没有提供相应的中文文档。但鉴于 WoSign 收到许多用户的有关驱动签名咨询,认为有必要简单总结一下有关驱动签名和相关代码签名证书如何选购的文档,由于时间和专业所限,本指南仅供参考,以微软网站上的文档为准。
驱动签名基础知识
为了确保 Windows 操作系统的稳定和用户的安全,微软的策略是逐步实现所有硬件驱动的数字签名,以便用户在反馈硬件故障时能准确识别硬件的制造商,并及时通知相关制造商改进。
驱动签名的目的有两个:一是确保驱动代码没有被非法篡改,二是确保驱动代码的来源可信 ( 驱动开发商身份已经通过权威的第三方验证 ) ,从而保护了驱动代码的完整性、保护了用户不会被病毒、恶意代码和间谍软件所侵害。
请注意区分:硬件驱动签名与硬件徽标认证,前者是出于系统安全考虑,而后者则着重于市场推广。当然,通过徽标认证一定是已经签名的,而并非所有硬件签名都需要通过徽标认证。当然,要申请徽标认证,首先要申请徽标认证证书来证明制造商的身份和提交已经签名的驱动。
Windows Vista 具体签名要求
对于 64 位的 Windows Vista ,有更严格的签名要求:
(1) Boot-start 驱动必须签名目录文件和所有二进制文件;
(2) 自签证书或非 Windows 信任的根证书颁发的代码签名证书只能用于测试机;
(3) 未签名的驱动只能用于测试机 ( 启动时按 F8) ;
(4) 非即插即用驱动必须签名二进制或目录文件,并且必须使用微软指定的证书颁发机构颁发的微软代码签名证书,而且签名时还要使用微软颁发的相应的交叉证书。
具体关于Vista下64位驱动签名问题,请联系:www.wosign.com
