如何从 Microsoft 为我的 Windows 10 微型过滤器驱动程序签名

Question

我已经创建了自己的微型过滤器驱动程序，例如 mini-spy（来自 Windows-driver-samples 的示例）。现在我已经完成了我的驱动程序并使用我们自己的 SHA-1 公司证书进行了签名。但它仍然需要 Microsoft 签名才能在 Windows 10 机器上运行。

我已经在互联网上搜索签署我的驱动程序。但这会误导我。如何从 Microsoft 签署我的驱动程序？

Answer 1

是的，新的驾驶员签名系统是一个庞大的 PITA，很难与 CI 集成并正确检查。这也是一堆损坏的链接和过时的信息页面，尤其是如果您添加了对 SHA1 的弃用。

需要的步骤是：

• 编译您的驱动程序
• 使用非 EV 的 SHA1 证书对其进行签名（从供应商处获得这些证书变得越来越困难，但如果您必须支持旧系统，这是必须的，因为很多 Windows 7 的补丁不足以支持 SHA2）。
• 使用 SHA2 EV 证书重新签名（这是强制性的）
• 生成正确的 .cab 文件
• 转到此页面：https://developer.microsoft.com/en-us/windows/hardware
• 点击仪表板 -> 点击登录 -> 执行所有步骤以实际登录
• 第一次你会在左边有一个黑色的可折叠条......这是正常的。忽略它并在主页上滚动并点击硬件。
• 您需要创建一个 Azure AD 目录才能继续，您可能需要注册该目录。如果您使用的是您的组织的帐户，这尤其是一个 PITA，该帐户可能有其他 AzureAD 并且不想混合帐户。当帐户最终激活时（可能需要一段时间），它将再次进入 Azure AD 登录。但是当你点击它时，它会重定向到上一页，所以当你点击下一步时，它会重定向到你所在的页面......
• 不用那个愚蠢的循环，退出并使用刚刚创建的 Azure AD 帐户登录....这将重定向到合作伙伴页面而不是开发页面。您无法真正从此处 (afaik) 访问开发门户，但您现在可以忽略此页面并直接转到 https://developer.microsoft.com/en-us/windows/hardware，当您进入仪表板时，它应该使用相同的会话。
• 这一次您的黑条上应该有 CSP。忽略它，然后再次转到硬件。
• 现在您将需要填写更多数据，例如电话、实际地址等。
• 现在您必须下载一个文件。您必须使用您也可以下载的工具对其进行签名（它只是常规的签名工具）。签名并上传。
• 验证通过后，您可以点击下一步。
• 您现在可以进入仪表板，其中包含实际内容。

• 现在提交新硬件
• 现在只需按照 UI 进行操作，这部分很简单：为其命名、添加 .cab、选择签名等。您可能可以忽略分发部分。根据驱动程序，您可能需要添加硬件测试内容。这需要几分钟，您终于可以下载驱动程序了。