Windows驱动数字签名如何获得
如今,微软已经强制要求所有的内核模式驱动程序必须通过严格的数字签名才能被系统加载和使用,如果你开发的软件涉及系统底层操作,特别是.sys、.dll等驱动文件,就需要获得驱动数字签名,而EV代码签名证书正是解决这一问题的关键。
一、驱动数字签名为什么要EV证书
微软对此有明确的划分:内核模式驱动程序运行在操作系统的最高权限层级,一旦被恶意利用,将直接危害整个系统安全。OV代码签名证书主要验证企业的合法注册信息,使用OV证书签名的软件在初期可能会触发“未知发布者”的警告,需要累积一定的用户下载量后才能建立信誉,因此不能用于内核驱动签名。
微软要求内核驱动必须使用扩展验证(EV)代码签名证书进行签名,与仅验证企业基本信息的组织验证(OV)证书不同,EV证书的验证流程要严格得多。
二、EV代码签名证书的优势
1、EV代码签名证书是实现内核驱动数字签名并通过系统验证的唯一官方认可方式;使用EV证书签名的驱动才能在启用了Secure Boot、内核隔离等高级安全特性的Windows系统上正常运行。
2、EV证书能立即获取微软SmartScreen的信任,消除“Windows无法验证此驱动程序软件的发布者”或“此驱动程序未签名”等安全警报,大大提升了终端用户的安装体验和信任度。
3、通过EV证书签名的驱动程序可以提交给微软进行WHQL认证,这是获得微软官方硬件兼容性徽标的必要步骤。
三、驱动数字签名如何获得
驱动数字签名购买最根本的就是要申请EV代码签名证书:
1、材料准备
需要提供企业的正式注册文件(如营业执照)、申请人的身份证明,以及能够证明企业实际运营状态的相关材料,对于EV证书,CA机构还会验证企业的经营年限和实际经营地址;证书颁发机构会通过官方数据库核对你的企业信息,并进行电话验证,确保申请中提供的联系电话与企业关联。
2、验证通过
CA会将包含私钥和证书的专用硬件令牌(通常是USB Key)邮寄给你,这是EV证书的重要安全特性——私钥始终存储在硬件令牌中,无法导出,极大提高了安全性。
3、接收与配置
收到硬件令牌后,需要按照CA提供的指南安装相关驱动和客户端软件,初始化令牌并设置访问密码(PIN码),安信证书提供免费安装服务。
驱动数字签名的获取离不开EV代码签名证书,签名完成后务必在Windows系统上测试签名的驱动,确认能够正常加载且不会出现安全警告,对于需要WHQL认证的驱动,使用EV证书签名后,可以提交至微软硬件开发中心进行兼容性测试,通过后即可获得微软官方徽标认证。
相关推荐:《微软代码签名证书使用教程》
SSL证书品牌
-
DigiCert是全球顶尖级SSL数字证书提供商,服务于全球一百四十多个国家和地区,是名副其实的行业领导者。旗下拥有 DigiCert,Symantec,Geotrust,Thawte,RapidSSL等SSL证书品牌。
-
GeoTrust是全球第二大数字证书颁发机构,是一款优质的、高性价比的SSL证书品牌,SSL证书类型丰富,且完美支持中文域名和显示中文名称。服务范围超过150多个国家,拥有客户超过10W。
-
Sectigo(原Comodo CA)成立于1998年,是全球优秀的网络安全服务提供商和SSL证书服务商之一,其提供的SSL证书类型丰富且价格亲民,能完美的为网站和企业提供各个类型的数字证书安全解决方案。
-
GlobalSign1996年起开始颁发可信赖的SSL数字证书,是一家声誉卓越、备受信赖的SSL数字提供商,是信息安全领域的佼佼者、公众信任服务行业的领头羊。旗下拥有GlobalSign、AlphaSSL等SSL证书品牌。
-
Thawte是全球第三大数字证书颁发机构,其产品占据了全球SSL数字证书市场的40%,它是全球最早支持IDN国际语言域名的数字证书品牌,使用中文域名网站的中国用户也可以部署SSL证书来确保信息安全。
-
RapidSSL是入门级便宜SSL证书品牌,目前属于Digicert的子品牌,其根证书为Digicert,只有两款DV证书产品,相对Digicert其他子品牌的DV证书,价格便宜很多,非常适合小型网站和个人用户申请安装。
相关文章
