描述

在2019年8月1日，微软宣布Microsoft受信任的根计划将终止对具有内核模式签名功能的交叉签名根证书的支持。在2021年，大多数交叉签名证书都将过期。 

为了使您的签名符合Microsoft准则，它需要在2021年6月30日之前过期。您可以使用 custom_expiration_date  API变量来创建带有附加的过期日期的证书副本。如果您还有其他疑问，请联系我们的支持团队。

当您的代码签名证书链接到的交叉签名证书过期时，您将不再能够创建新的内核模式数字签名。这会影响所有版本的Windows。要了解有关Microsoft针对内核模式数字签名的弃用计划的更多信息，请参阅《软件发行商证书，商业发行证书和商业测试证书的弃用》。

注意：具有内核模式签名功能的所有现有交叉签名根证书将继续工作，直到它们过期。请参阅DigiCert品牌可信任的交叉签名证书的到期日期。

微软提交驱动程序的新流程

从2021年开始，微软将成为生产内核模式代码签名的唯一提供商。Microsoft已经实现了用于签名内核模式驱动程序包的新过程。您将需要按照Microsoft更新的硬件提交说明对所有新的内核模式驱动程序包进行签名。请参阅Windows硬件合作伙伴中心。

DigiCert在做什么呢？

作为此退出过程的第一步，DigiCert从代码签名证书申请表中删除了Microsoft内核模式代码平台选项：新，重新发行和续签。

这意味着，您将不能再为内核模式平台订购，重新发行或续订代码签名证书。

这如何影响我现有的内核模式代码签名证书？

如果您的代码签名证书在2021年6月30日之后过期，则您将无法再使用它来签名内核模式代码，该证书立即生效。请与Digicert联系以获得新的证书，该证书较早过期。如果您的证书在2021年6月30日之前到期，则可以继续使用代码签名证书，如下所示：

• 签署非驱动程序代码，直到失效为止。 

• 对内核模式驱动程序软件包进行签名，直到被链接的交叉签名证书过期为止。*

如果需要在链接的交叉签名证书过期后对新的内核模式代码驱动程序包进行签名，则需要遵循Microsoft更新的“硬件提交”说明。请参阅Windows硬件合作伙伴中心。

这如何影响我的内核模式驱动程序软件包签名？

• 如果您在链接的交叉签名证书到期之前对内核模式代码驱动程序包进行签名和时间戳记，则在交叉签名证书到期之后，您的签名将继续起作用！

• 如果仅在链接到其的交叉签名证书过期之前对内核模式代码驱动程序包进行签名，则当链接到其的交叉签名证书过期时，您的签名将无效。

有关DigiCert品牌交叉签名证书何时过期的信息，请参见下面的DigiCert品牌可信交叉签名证书的过期日期部分。

我怎么知道我的驱动器软件包是否会受到交叉签名证书过期的影响？

如果您的证书链以Microsoft代码验证根结尾，则驱动器软件包将受到影响。

要查看交叉签名的证书链，请运行signtool verify / v / kp <mydriver.sys>

例如：

DigiCert品牌可信任的交叉签名根证书的过期日期

• DigiCert保证ID根CA- 2021年4月15日到期

• DigiCert高保证EV根CA-过期4/15/2021

• DigiCert全球根CA-过期4/15/2021

• GeoTrust初级证书颁发机构-过期2/22/2021

• GeoTrust主要认证中心-G3-2/2 /22过期

• Thawte主根CA-过期2/22/2021

• Thawte主根CA- G3-过期2/22/2021

• VeriSign 3类公共一级证书颁发机构-G5-2/2 /22过期

• VeriSign通用根证书颁发机构-过期2/22/2021