原创 2021-04-23

受微软信任的交叉证书将在2021年4月到期

微软列出所有受信任CA交叉证书到期的列表，都在2021年的2月份和4月到期：

已经签名的驱动程序会出现什么情况？

在中级证书到期前有时间戳的签名驱动包，还会继续有效。

是否可以创建驱动程序包不提交给微软公司？

不可，所有创建的驱动程序包都必须提交给微软公司签名。

每个更新版本的驱动程序包是否都需要交给微软签名？

是的，每个版本的更新都需要交给微软公司签名。

2021年4月之后是否可以用现有的第三方代码签名证书对非内核驱动程序进行签名？

可以用现有的证书对非内核驱动程序进行签名，使用这些证书签名的代码将只能在用户模式下运行，并且将不允许在内核中运行，除非它具有有效的 Microsoft 签名。

能用现有的EV代码签名证书在硬件中心做驱动签名提交吗？

可以使用EV证书继续提交直到它过期。但是如果在交叉证书过期之后用其签名内核驱动程序，驱动程序将会出不能加载，安装，运行。

如何实现知道我的签名证书是否会受到这些过期的影响？

如果交叉证书链以结尾 Microsoft Code Verification Root ，则签名证书会受到影响。

若要查看交叉证书链，请运行 signtool verify /v /kp

不可以。在2021年7月1日之后，必须使用 WHQL 签名对内核模式驱动程序签名。 不能使用链接到2021年7月1日之后过期的交叉证书的证书来对内核模式驱动程序进行签名。 在此日期后使用这些证书对内核模式驱动程序进行签名会违反 Microsoft 受信任的根程序 (TRP) 策略。 CA 将吊销违反 Microsoft TRP 策略的证书。 其他证书可能存在于内核模式驱动程序上，但 Windows 会出于验证驱动程序的目的而忽略这些签名。

 更多相关资料百度搜索安信实验室或者WWW.whqlchina.com