驱动程序软件的数字证书和普通的其他软件有很大的区别。曾经,驱动程序也可以用 EV 代码签名证书进行数字签名,但随着微软的策略调整,想要给驱动获取数字签名,已经不仅仅是有 EV 代码签名证书就可以的了。
简单来说,以前您只需要在环度网信申请个 EV 代码签名证书即可,这种 EV 代码签名证书除了可以给您的驱动程序加上数字签名,也可以给其他的软件、插件等加上数字签名,可谓一证在手,签名就有。但因为驱动程序这种文件的特殊性,随着之前支持给驱动签名的交叉证书的到期,微软官方要求驱动开发者通过 WHQL 的方式提交驱动程序文件给微软官网来获得微软的数字签名。
如下,您可以看到驱动使用微软的签名后的驱动文件的数字签名属性是这样的:
这种数字签名是必须的吗?是不是驱动程序在发布之前一定要取得这种数字签名呢?
我们只能说如果您的驱动没有取得这样的数字签名,那么在 Windows 中运行的时候,会面临诸多不变,如下图所示警告便是其中之一:
因此网上便有很多教程教大家来如何禁用这种驱动签名的强制验证:
上面这种禁用的方式,可以临时获得驱动在Windows中的畅通运行,但这是以牺牲安全为前提的方法,而且只能解决当前一个电脑的驱动运行问题。如果您的驱动程序用户很多,试想,要让每个人关闭他们系统里面的驱动程序强制签名是一项多么不可能完成的任务,何况这样的操作会给该用户带来安全隐患。
因此,环度网信强烈建议您给您的驱动程序申请数字签名,以便一次性解决当前驱动版本的签名验证问题。
如何申请驱动的这种数字签名呢?
按照微软官网的指导文档,申请 EV 代码签名证书,创建 WHQL 账号,提交驱动程序给微软,获得微软数字签名版的驱动文件。
这其中两步关键的步骤均可在环度网信完成:申请 EV 代码签名证书和驱动提交。
环度网信是 DigiCert、GlobalSign、Entrust 等 CA 机构官方授权的 EV 代码签名证书服务商,您可以直接在环度网信在线申请这种 EV 代码签名证书,同时,如果您对提交驱动给微软获取签名的环节不熟悉,也可以通过环度网信来完成相关的步骤,您只需要申请EV证书和提供驱动即可,我们将交付给您通过了微软签名的新的驱动程序。
