注意事項
ほとんどのクロス証明書は、2021 年 7 月に期限切れになりました。 期限切れのクロス証明書でチェーンするコード署名証明書を使用して、Windows の任意のバージョンの新しいカーネル モードのデジタル署名を作成することはできません。
Microsoft の信頼されたルート プログラムは、カーネル モード署名機能を持つルート証明書をサポートしなくなりました。
ポリシー要件については、[Windows 10 カーネル モードのコード署名の要件] (/security/trusted-root/program-requirements#f-windows-10-kernel-mode-code-signing-kmcs-requirements) を参照してください。
カーネル モードのコード署名機能を備えた既存の クロス署名ルート証明書 は、有効期限が切れるまで引き続き機能します。 これらのルート証明書にチェーンバックするすべてのソフトウェア発行元証明書、商用リリース証明書、および商用テスト証明書も、同じスケジュールで無効になります。
ドライバーに署名するには、まず Windows ハードウェア デベロッパー センター プログラムに登録します。
よく寄せられる質問
信頼されたクロス証明書の有効期限スケジュールを確認するにはどうすればよいですか?
すべてのクロス署名された信頼されたルート証明書の有効期限が切れています。
ドライバーをテストするためのクロス署名された証明書の代替手段はありますか?
次の手順を使用できます。 すべてのメソッドで、 TESTSIGNING ブート オプションを 有効にする必要があります。
起動時にドライバーをテストする方法については、「 Windows のセットアップと起動に必要なテスト署名されたドライバーをインストールする方法」を参照してください。
詳細については、「 開発中およびテスト中のドライバーの署名の概要」を参照してください。
既存の署名済みドライバー パッケージにはどのような影響がありますか?
リーフ署名証明書の有効期限の前にドライバー パッケージのタイムスタンプが付いている限り、パッケージは動作を続けます。
運用環境のドライバー パッケージを Microsoft に公開せずに実行する方法はありますか。
いいえ。すべての運用ドライバー パッケージは、Microsoft に提出して署名する必要があります。
ドライバー パッケージのすべての新しい実稼働バージョンには、Microsoft 署名が必要ですか?
はい。運用レベルのドライバー パッケージが再構築されるたびに、Microsoft はパッケージに署名する必要があります。
サード パーティによって発行された既存の証明書で非ドライバー コードに署名できますか?
はい。これらの証明書は有効期限が切れるまで引き続き機能します。 これらの証明書を使用して署名されたコードは、有効な Microsoft 署名がない限り、ユーザー モードでのみ実行されます。
ハードウェア デベロッパー センターへの申請に署名するために EV 証明書を引き続き使用できますか?
はい。拡張検証 (EV) 証明書は有効期限が切れるまで引き続き機能します。 クロス証明書の発行の有効期限が切れた後に EV 証明書を使用してカーネル モード ドライバーに署名した場合、結果のドライバーは読み込み、実行、またはインストールされません。
スケジュールされた有効期限が署名証明書に影響を与える可能性があるかどうかを確認するにはどうすればよいですか?
クロス証明書チェーンが Microsoft Code Verification Rootで終了すると、署名証明書が影響を受けます。
クロス証明書チェーンを表示するには、 signtool verify /v /kp <mydriver.sys> コマンドを実行します。 例えば次が挙げられます。
Microsoft テスト署名を自動化して、組織のビルド プロセスと連携するにはどうすればよいですか?
ビルド プロセスでは、 ハードウェア デベロッパー センター API を呼び出すことができます。
使用状況を示すサンプルについては、GitHub の Surface デベロッパー センター マネージャー (SDCM) リポジトリを参照してください。
Microsoft は運用環境のカーネル モード コード署名の唯一のプロバイダーですか?
はい。
ハードウェア デベロッパー センターでドライバーの署名が提供されない場合、Windows XP でドライバーを実行するにはどうすればよいですか?
ドライバーは引き続きサード パーティ発行のコード署名証明書で署名できます。 ただし、ドライバーに署名した証明書は、ターゲット コンピューター上の Local Computer Trusted Publishers 証明書ストアにインポートする必要があります。 詳細については、「 信頼された発行元の証明書ストア」を参照してください。
運用環境の署名オプションは Windows のバージョンによってどのように異なりますか?
Warnung
クロス署名はドライバー署名として受け付けなくなりました。 クロス証明書を使用してカーネル モード ドライバーに署名することは、 Microsoft の信頼されたルート プログラム (TRP) ポリシーの違反です。 TRP は、カーネル モードの署名機能を持つルート証明書をサポートしなくなりました。 Microsoft TRP ポリシーに違反している証明書は、CA によって取り消されます。
ドライバーが Windows 7、8、または 8.1 で実行されている場合は、Windows ハードウェア互換性プログラムを通じてドライバーに署名する必要があります。 開始するには、「 新しいハードウェア申請を作成する」を参照してください。
Windows 10 以降では、Windows ハードウェア互換性プログラム (WHCP) または 構成証明署名を使用します。
WHCP を使用してドライバーに署名する際に課題がある場合は、次のいずれかのオプションを使用して詳細を報告します。
Microsoft パートナー センター ダッシュボードから入手できる Microsoft 共同作業ポータルを使用して、フィードバックのバグを作成します。
Windows 開発者サポートに移動し、[お問い合わせ] タブを選択します。[テクニカル サポート] ボックスの [ドライバー開発とテスト/認定] の横にある [インシデントの送信] を選択します。