Dépréciation des certificats d'éditeur de logiciel, des certificats de version commerciale et des certificats de test commerciaux

Attention

La majorité des certificats croisés ont expiré en juillet 2021. Vous ne pouvez pas utiliser les certificats de signature de code qui s'enchaînent à des certificats croisés expirés pour créer de nouvelles signatures numériques en mode noyau, quelle que soit la version de Windows.

Le programme Microsoft Trusted Root ne prend plus en charge les certificats racine dotés de capacités de signature en mode noyau.

Pour connaître les exigences en matière de stratégie, consultez les exigences relatives à la signature de code en mode noyau de Windows 10.

Les certificats racine existants à signature croisée dotés de capacités de signature de code en mode noyau continueront à fonctionner jusqu'à leur expiration. Tous les certificats d'éditeur de logiciel, les certificats de version commerciale et les certificats de test commercial qui renvoient à ces certificats racine deviennent également invalides selon le même calendrier.

Pour faire signer votre pilote, inscrivez-vous d'abord au programme du Centre de développement matériel de Windows.

Forum aux questions

Quel est le calendrier d'expiration des certificats croisés de confiance ?

Tous les certificats racine à signature croisée ont expiré.

Quelles sont les alternatives aux certificats à signature croisée pour tester les pilotes ?

Pour toutes les options ci-dessous, l'option de démarrage TESTSIGNING doit être activée.

Pour tester les pilotes au démarrage, voir Comment installer un pilote signé par test requis pour l'installation et le démarrage de Windows.

Pour plus d'informations, voir Signer les pilotes pendant le développement et le test.

Qu'adviendra-t-il de mes packages de pilotes signés existants ?

Tant que les packages de pilotes sont horodatés avant la date d'expiration du certificat de signature de la feuille, ils continueront à fonctionner.

Existe-t-il un moyen d'exécuter des packages de pilotes de production sans les exposer à Microsoft ?

Non, tous les packages de pilotes de production doivent être soumis à Microsoft et signés par lui.

Chaque nouvelle version de production d'un package de pilotes doit-elle être signée par Microsoft ?

Oui, chaque fois qu'un package de pilotes de niveau production est reconstruit, il doit être signé par Microsoft.

Pouvons-nous signer du code autre que celui du pilote avec nos certificats existants émis par des tiers ?

Oui, ces certificats continuent à fonctionner jusqu'à leur expiration. Le code signé à l'aide de ces certificats ne s'exécute qu'en mode utilisateur, à moins qu'il ne porte une signature Microsoft valide.

Pourrai-je continuer à utiliser mon certificat EV pour signer les soumissions au Centre de développement matériel ?

Oui, les certificats EV continueront à fonctionner jusqu'à leur expiration. Si vous signez un pilote en mode noyau avec un certificat EV après l'expiration du certificat croisé qui a émis ce certificat EV, le pilote résultant ne se chargera pas, ne s'exécutera pas et ne s'installera pas.

Comment puis-je savoir si mon certificat de signature sera affecté par ces expirations ?

Si votre chaîne de certificats croisés se termine par Microsoft Code Verification Root, votre certificat de signature est affecté.

Pour afficher la chaîne de certificats croisés, exécutez signtool verify /v /kp <mydriver.sys> Par exemple :

[Trouver la chaîne de certificats croisés].

Comment pouvons-nous automatiser Microsoft Test Signing pour qu'il fonctionne avec nos processus de construction ?

Vos processus de construction peuvent appeler l'API du Centre de développement matériel.

Pour obtenir des exemples d'utilisation, consultez le référentiel Surface Dev Center Manager.

Microsoft est-il le seul fournisseur de signatures de code en mode noyau de production ?

Oui.

Le Centre de développement matériel ne fournit pas de signature de pilote pour Windows XP, comment puis-je faire fonctionner mes pilotes dans XP ?

Les pilotes peuvent toujours être signés à l'aide d'un certificat de signature de code émis par un tiers. Cependant, le certificat qui a signé le pilote doit être importé dans le magasin de certificats Local Computer Trusted Publishers sur l'ordinateur cible. Voir Trusted Publishers Certificate Store pour plus d'informations.

En quoi les options de signature de production diffèrent-elles selon la version de Windows ?

Avertissement

La signature croisée n'est plus acceptée pour la signature des pilotes. L'utilisation de certificats croisés pour signer des pilotes en mode noyau constitue une violation de la stratégie du Trusted Root Program (TRP) de Microsoft. Le TRP ne prend plus en charge les certificats racine dotés de capacités de signature en mode noyau. Les certifications qui enfreignent les stratégies du TRP de Microsoft seront révoquées par l'autorité de certification.

Si votre pilote fonctionne sous Windows 7, 8 ou 8.1, il doit être signé via le Programme de compatibilité matérielle de Windows. Pour commencer, consultez la section Créer une nouvelle soumission de matériel.

À partir de Windows 10, utilisez la signature WHCP ou la signature d'attestation.

Si vous rencontrez des difficultés pour signer votre pilote avec le WHCP, veuillez signaler les spécificités en utilisant l'une des méthodes suivantes :

  • Utilisez le portail Microsoft Collaborate, disponible via le tableau de bord du Centre des partenaires Microsoft, pour créer un bogue de commentaires.
  • Accédez à l'assistance aux développeurs Windows, sélectionnez l'onglet Contactez-nous et, dans la zone Assistance technique, à côté de Développement et test/certification de pilotes, sélectionnez Soumettre un incident.