受微軟信任的交叉證書將在2021年4月到期

微軟列出所有受信任CA交叉證書到期的列表，都在2021年的2月份和4月到期：

已經簽名的驅動程式會出現什麼情況？

在中級證書到期前有時間戳的簽名驅動包，還會繼續有效。

 

是否可以建立驅動程式包不提交給微軟公司？

不可，所有建立的驅動程式包都必須提交給微軟公司簽名。

 

每個更新版本的驅動程式包是否都需要交給微軟簽名？

是的，每個版本的更新都需要交給微軟公司簽名。

 

2021 年4月之後是否可以用現有的第三方程式碼簽名證書對非核心驅動程式進行簽名？

可以用現有的證書對非核心驅動程式進行簽名， 使用這些證書籤名的程式碼將只能在使用者模式下執行，並且將不允許在核心中執行，除非它具有有效的 Microsoft 簽名。

 

能用現有的 EV 程式碼簽名證書在硬體中心做驅動簽名提交嗎？

可以使用 EV 證書繼續提交直到它過期。但是如果在交叉證書過期之後用其簽名核心驅動程式，驅動程式將會出不能載入，安裝，執行。

 

如何實現知道我的簽名證書是否會受到這些過期的影響？

如果交叉證書鏈以結尾   Microsoft Code Verification Root   ，則簽名證書會受到影響。

若要檢視交叉證書鏈，請執行   signtool verify /v /kp <mydriver.sys>

從 2021 年開始微軟是唯一的能為核心驅動程式提供簽名的機構嗎？

是的，只有微軟才能對核心驅動簽名。

我是否能夠繼續使用連結到 2021 年 7 月 1 日之後過期的交叉證書的證書對驅動程式進行簽名？

不可以。在 2021 年 7 月 1 日之後，必須使用 WHQL 簽名對核心模式驅動程式簽名。   不能使用連結到 2021 年 7 月 1 日之後過期的交叉證書的證書來對核心模式驅動程式進行簽名。   在此日期後使用這些證書對核心模式驅動程式進行簽名會違反 Microsoft 受信任的根程式 (TRP) 策略。  CA 將吊銷違反 Microsoft TRP 策略的證書。   其他證書可能存在於核心模式驅動程式上，但 Windows 會出於驗證驅動程式的目的而忽略這些簽名。