Signaturanforderungen für Treibercode
Ihre Treiber müssen mit einem Zertifikat signiert sein, bevor Sie sie an das Hardware-Dashboard übermitteln. Ihre Organisation kann einer beliebigen Anzahl von Zertifikaten sein Dashboard-Konto zuordnen, und jede Ihrer Übermittlungen muss mit einem dieser Zertifikate signiert werden. Es gibt keine Einschränkung für die Anzahl der Zertifikate (sowohl erweiterte Validierung (EV) als auch Standard), die Ihrer Organisation zugeordnet sind.
Dieser Artikel enthält allgemeine Informationen zu den Typen der für Ihre Treiber verfügbaren Codesignatur und den zugehörigen Anforderungen für diese Treiber.
Ausführlichere Informationen zu Treibersignaturanforderungen finden Sie auf den folgenden Seiten:
- Treibersignaturänderungen in Windows 10
- Treibersignaturänderungen in Windows 10, Version 1607
- Aktualisierung zur Sysdev EV-Zertifikatanforderung
Wo erhalten Sie Codesignaturzertifikate?
Codesignaturzertifikate können von einer der folgenden Zertifizierungsstellen erworben werden:
- DigiCert-Codesignaturzertifikat
- Entrust-Codesignaturzertifikat
- GlobalSign-Codesignaturzertifikat
- SSL.com-Codesignaturzertifikat
Signierte EV-Zertifikattreiber
Ihrem Hardware Dev Center-Dashboard-Konto muss mindestens ein EV-Zertifikat zugeordnet sein, um Binärdateien zur Signierung mit Nachweis zu übermitteln oder Binärdateien für die HLK-Zertifizierung zu übermitteln.
Es gelten die folgenden Regeln:
- Ihr registriertes EV-Zertifikat muss zum Zeitpunkt der Übermittlung gültig sein.
- Während Microsoft dringend empfiehlt, einzelne Übermittlungen mit einem EV-Zertifikat zu signieren, können Sie alternativ Übermittlungen mit einem Authenticode-Signaturzertifikat signieren, das auch für Ihr Partner Center-Konto registriert ist.
- Alle Zertifikate müssen SHA2 sein und mit dem
/fd sha256SignTool-Befehlszeilenschalter signiert sein.
Wenn Sie bereits über ein genehmigtes EV-Zertifikat von einer Zertifizierungsstelle verfügen, können Sie es verwenden, um ein Partner Center-Konto einzurichten. Wenn Sie kein EV-Zertifikat besitzen, wählen Sie eines der Zertifizierungsstellen aus, und folgen Sie ihren Anweisungen zum Kauf.
Nachdem die Zertifizierungsstelle Ihre Kontaktinformationen überprüft und der Zertifikatkauf genehmigt wurde, folgen Sie den Anweisungen zum Abrufen des Zertifikats.
In HLK getestete und im Dashboard signierte Treiber
Ein signierter Dashboardtreiber, der die HLK-Tests bestanden hat, funktioniert unter Windows Vista und höher, einschließlich Windows Server-Editionen. HLK-Tests sind die empfohlene Methode für die Treibersignierung, da sie einen Treiber für alle Betriebssystemversionen signiert. HLK getestete Treiber zeigen, dass ein Hersteller seine Hardware streng testet, um alle Anforderungen von Microsoft hinsichtlich Zuverlässigkeit, Sicherheit, Energieeffizienz, Serviceierbarkeit und Leistung zu erfüllen, um eine hervorragende Windows-Erfahrung zu bieten. Tests umfassen die Einhaltung von Branchenstandards und die Einhaltung von Microsoft-Spezifikationen für technologiespezifische Features, um die korrekte Installation, Bereitstellung, Konnektivität und Interoperabilität sicherzustellen. Informationen zum Erstellen eines in HLK getesteten Treibers für Ihre Dashboard-Übermittlung finden Sie unter Erste Schritte mit dem Windows HLK.
Mit dem Windows 10-Nachweis signierte Treiber für Testszenarien
Die Windows-Geräteinstallation verwendet digitale Signaturen, um die Integrität von Treiberpaketen und die Identität des Softwareherausgebers zu überprüfen, der die Treiberpakete bereitstellt.
Nur zu Testzwecken können Sie Ihre Treiber zur Signierung mit Nachweis übermitteln, was keine HLK-Tests erfordert.
Das Signieren mit Nachweisen weist die folgenden Einschränkungen und Anforderungen auf:
Signierte Nachweistreiber können für Einzelhandelsgruppen nicht in Windows Update veröffentlicht werden. Um einen Treiber für Einzelhandelskunden in Windows Update zu veröffentlichen, müssen Sie Ihren Treiber über das Windows-Hardwarekompatibilitätsprogramm (WHCP) übermitteln. Die Veröffentlichung signierter Treiber für Windows Update zu Testzwecken wird unterstützt, indem Sie die Optionen CoDev oder Registrierungsschlüssel testen / Surface SSRK auswählen.
Das Signieren mit Nachweis funktioniert nur unter Windows 10 Desktop und höheren Versionen von Windows.
Das Signieren mit Nachweis unterstützt Windows 10 Desktop Kernelmodus- und Benutzermodustreiber. Obwohl Benutzermodustreiber nicht von Microsoft für Windows 10 signiert werden müssen, kann derselbe Nachweisprozess sowohl für Benutzer- als auch für Kernelmodustreiber verwendet werden. Für Treiber, die in früheren Versionen von Windows ausgeführt werden müssen, sollten Sie HLK/HCK-Testprotokolle für die Windows-Zertifizierung übermitteln.
Die Nachweissignatur gibt nicht die richtige PE-Ebene für ELAM - oder Windows Hello PE-Binärdateien zurück. Diese Binärdateien müssen als HLKX-Pakete getestet und übermittelt werden, um die zusätzlichen Signaturattribute zu erhalten.
Das Signieren mit Nachweis erfordert die Verwendung eines erweiterten Validierungszertifikats (EV), um den Treiber an das Partner Center (Hardware Dev Center Dashboard) zu übermitteln.
Die Nachweissignatur erfordert, dass Treiberordnernamen keine Sonderzeichen, keine UNC-Dateifreigabepfade und weniger als 40 Zeichen lang sind.
Wenn ein Treiber eine Nachweissignatur erhält, ist er nicht Windows-zertifiziert. Eine Nachweissignatur von Microsoft gibt an, dass der Treiber von Windows als vertrauenswürdig eingestuft wird. Da der Treiber jedoch nicht in HLK Studio getestet wurde, gibt es keine Gewähr für Kompatibilität, Funktionalität usw. Ein Treiber, der die Nachweissignierung erhält, kann nicht über Windows Update für Einzelhandelskunden veröffentlicht werden. Wenn Sie Ihren Treiber für Einzelhandelskunden veröffentlichen möchten, müssen Sie Ihren Treiber über das Windows-Hardwarekompatibilitätsprogramm (WHCP) übermitteln.
DUA (Driver Update Acceptable) unterstützt keine Treiber, die mit Nachweis signiert sind.
Die folgenden PE-Ebenen und Binärdateien können über den Nachweis verarbeitet werden:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- OCX
- .msi
- .xpi
- .xap
Informationen zum Erstellen eines mit Nachweis signierten Treibers für Windows 10- und höhere Versionstreiber finden Sie unter Nachweissignatur für Windows 10- und höhere Versionstreiber.
Signierte Windows Server-Treiber
- Windows Server 2016 und höher akzeptieren keine bestätigten Geräte- und Filtertreibersignaturübermittlungen.
- Das Dashboard signiert nur Geräte- und Filtertreiber, die die HLK-Tests erfolgreich bestanden haben.
- Windows Server 2016 und höher laden nur signierte Dashboardtreiber, die die HLK-Tests erfolgreich bestanden haben.
Windows Defender Application Control
Unternehmen können eine Richtlinie implementieren, um die Treibersignaturanforderungen mithilfe der Windows 10 Enterprise Edition zu ändern. Windows Defender Application Control (WDAC) stellt eine unternehmensdefinierte Codeintegritätsrichtlinie bereit, die so konfiguriert werden kann, dass mindestens ein nachweissignierter Treiber erforderlich ist. Weitere Informationen zu WDAC finden Sie unter Planung und erste Schritte im Windows Defender Application Control-Bereitstellungsprozess.
Signaturanforderungen für Windows-Treiber
In der folgenden Tabelle sind die Treibersignaturanforderungen für Windows zusammengefasst:
| Version | Im Dashboard mit Nachweis signiert | Im Dashboard nach bestandenem HLK-Test signiert | Mit einem SHA-1-Zertifikat gegensigniert, das vor dem 29. Juli 2015 ausgestellt wurde |
|---|---|---|---|
| Windows Vista | No | Ja | Ja |
| Windows 7 | No | Ja | Ja |
| Windows 8/8.1 | No | Ja | Ja |
| Windows 10 | Ja | Ja | Nein (ab Windows 10 1809) |
| Windows 10 – DG aktiviert | *Konfigurationsabhängig | *Konfigurationsabhängig | *Konfigurationsabhängig |
| Windows Server 2008 R2 | Nein | Ja | Ja |
| Windows Server 2012 R2 | No | Ja | Ja |
| Windows Server >= 2016 | No | Ja | Ja |
| Windows Server >= 2016 – DG aktiviert | *Konfigurationsabhängig | *Konfigurationsabhängig | *Konfigurationsabhängig |
| Windows IoT Enterprise | Ja | Ja | Ja |
| Windows IoT Enterprise – DG aktiviert | *Konfigurationsabhängig | *Konfigurationsabhängig | *Konfigurationsabhängig |
| Windows IoT Core(1) | Ja (nicht erforderlich) | Ja (nicht erforderlich) | Ja (Gegensignatur funktioniert auch für Zertifikate, die nach dem 29. Juli 2015 ausgestellt wurden) |
*Konfigurationsabhängig – Mit Windows 10 Enterprise Edition können Organisationen Windows Defender Application Control (WDAC) verwenden, um benutzerdefinierte Signaturanforderungen zu definieren. Weitere Informationen zu WDAC finden Sie unter Planung und erste Schritte im Windows Defender Application Control-Bereitstellungsprozess.
(1) Die Treibersignierung ist für Hersteller erforderlich, die Einzelhandelsprodukte (d. h. für einen Nichtentwicklungszweck) mit IoT Core erstellen. Eine Liste der genehmigten Zertifizierungsstellen (Certificate Authorities, CAs) finden Sie unter Gegenzertifikate für Kernelmodus-Codesignatur. Wenn der sichere UEFI-Start aktiviert ist, müssen Treiber signiert werden.