ドライバー コード署名の要件

ドライバーをハードウェア ダッシュボードに送信する前に、証明書で署名する必要があります。 組織は任意の数の証明書をダッシュボード アカウントに関連付けることができ、提出物のそれぞれにそれらの証明書のいずれかで署名する必要があります。 組織に関連付けられている証明書の数 (拡張検証 (EV) と Standard の両方) に制限はありません。

この記事では、ドライバーで使用できるコード署名の種類と、それらのドライバーに関連する要件に関する一般的な情報を提供します。

ドライバーの署名要件の詳細については、次のページを参照してください。

• Windows 10 でのドライバー署名の変更
• Windows 10 バージョン 1607 でのドライバー署名の変更
• Sysdev EV 証明書の要件の更新

EV コード署名証明書を取得する場所

EV コード署名証明書は、次のいずれかの証明機関から購入できます。

• Certum EV コード署名証明書
• DigiCert EV コード署名証明書
• GlobalSign EV コード署名証明書
• IdenTrust EV コード署名証明書
• Sectigo (旧 Comodo) EV コード署名証明書
• SSL.com の EV コード署名証明書

EV 証明書署名付きドライバー

ハードウェア デベロッパー センター ダッシュボード アカウントには、構成証明署名用のバイナリを送信したり、HLK 認定用のバイナリを送信したりするために、少なくとも 1 つの EV 証明書が関連付けられている必要があります。

次の規則が適用されます。

• 登録されている EV 証明書は、提出時に有効である必要があります。
• Microsoft では、EV 証明書を使用して個々の申請に署名することを強くお勧めしますが、パートナー センター アカウントにも登録されている Authenticode 署名証明書を使用して申請に署名することもできます。
• すべての証明書は SHA2 で、 /fd sha256 SignTool コマンド ライン スイッチを使用して署名されている必要があります。

証明機関から承認済みの EV 証明書が既にある場合は、それを使用してパートナー センター アカウントを確立できます。 EV 証明書がない場合は、 証明機関を 1 つ 選択し、購入の指示に従います。

証明機関が連絡先情報を確認し、証明書の購入が承認されたら、その指示に従って証明書を取得します。

HLKのテストを受けたドライバーと、ダッシュボードで署名されたドライバー

HLK テストに合格したダッシュボード署名付きドライバーは、Windows Vista 以降 (Windows Server エディションを含む) で動作します。 HLK テストは、すべての OS バージョンのドライバーに署名するため、ドライバーの署名に推奨される方法です。 HLK でテストされたドライバーは、優れた Windows エクスペリエンスを提供するために、製造元が、信頼性、セキュリティ、電力効率、保守性、パフォーマンスに関する Microsoft のすべての要件を満たすようにハードウェアを厳密にテストすることを示しています。 テストには、業界標準への準拠と、テクノロジ固有の機能に関する Microsoft 仕様への準拠が含まれており、正しいインストール、展開、接続性、相互運用性を確保するのに役立ちます。 ダッシュボード申請用に HLK テスト済みドライバーを作成する方法については、「 Windows HLK の概要」を参照してください。

テストシナリオ用のWindows 10 認証署名済みドライバー

Windows デバイスのインストールでは、デジタル署名を使用して、ドライバー パッケージの整合性と、ドライバー パッケージを提供するソフトウェア発行元の ID を確認します。

テスト目的としてのみ、HLK テストが不要な構成証明の署名を受けるためにドライバーを提出できます。

証明書への署名には、次の制限と要件があります。

• 構成証明署名付きドライバーは、小売対象ユーザー向けに Windows Update に公開できません。 対象ユーザー向けのドライバーを Windows Update に公開するには、 Windows ハードウェア互換性プログラム (WHCP) を通じてドライバーを提出する必要があります。 テスト目的で構成証明署名付きドライバーを Windows Update に公開するには、 CoDev または テスト レジストリ キー/Surface SSRK オプションを選択します。

• 構成証明署名は、Windows 10 デスクトップおよびそれ以降の Windows バージョンでのみ機能します。

• 証明書署名では、Windows 10 デスクトップのカーネルモードとユーザーモードのドライバーをサポートしています。 ユーザー モード ドライバーは、Microsoft for Windows 10 で署名する必要はありませんが、ユーザー モード ドライバーとカーネル モード ドライバーの両方に同じ構成証明プロセスを使用できます。 以前のバージョンの Windows で実行する必要があるドライバーの場合は、 Windows 認定の HLK/HCK テスト ログを送信する必要があります。

• アテステーション署名では、ELAM または Windows Hello の PE バイナリに対して適切な PE レベルが返されません。 追加の署名属性を受け取るために、これらのバイナリをテストして .hlkx パッケージとして送信する必要があります。

• 構成証明署名には、拡張検証 (EV) 証明書を使用して、パートナー センター (ハードウェア デベロッパー センター ダッシュボード) にドライバーを提出することが必要です。

• 構成証明署名では、ドライバー フォルダー名に特殊文字を含めず、UNC ファイル共有パスを含めず、長さ 40 文字未満にする必要があります。

• ドライバーが認証サインを受け取った場合、それはWindows認定ではありません。 Microsoft の構成証明署名は、ドライバーが Windows によって信頼されていることを示します。 ただし、ドライバーは HLK Studio でテストされていないため、互換性や機能などの保証はありません。 構成証明署名を受け取るドライバーは、Windows Update を通じて小売ユーザー向けに公開できません。 ドライバーを小売対象ユーザーに公開する場合は、 Windows ハードウェア互換性プログラム (WHCP) を通じてドライバーを提出する必要があります。

• DUA (Driver Update Acceptable) は、認証を使用して署名されたドライバーをサポートしていません。

• 次の PE レベルとバイナリは、構成証明によって処理できます。

  • PeTrust
  • DrmLevel
  • HAL
  • .exe
  • .cab
  • .dll
  • .ocx
  • .msi
  • .xpi
  • .xap

Windows 10+ ドライバーに対して署名付き構成証明ドライバーを作成する方法については、「Windows 10+ ドライバーの署名付き構成証明」を参照してください。

Windows Server 署名済みドライバー

• Windows Server 2016 以降では、構成証明されたデバイスとフィルター ドライバーの署名申請は受け入れられません。
• ダッシュボードは、HLK テストに正常に合格したデバイス ドライバーとフィルター ドライバーにのみ署名します。
• Windows Server 2016 以降では、HLK テストに正常に合格したダッシュボード署名付きドライバーのみが読み込まれます。

Windows Defender アプリケーション制御

企業は、Windows 10 Enterprise エディションを使用してドライバーの署名要件を変更するポリシーを実装できます。 Windows Defender アプリケーション制御 (WDAC) には、少なくとも構成証明署名付きドライバーを必要とするように構成できる、エンタープライズ定義のコード整合性ポリシーが用意されています。 WDAC の詳細については、「 Windows Defender アプリケーション制御の展開プロセスの計画と開始」を参照してください。

Windows ドライバーの署名要件

次の表は、Windows のドライバー署名要件をまとめたものです。

*構成に依存 – Windows 10 Enterprise エディションでは、組織は Windows Defender アプリケーション制御 (WDAC) を使用してカスタム署名要件を定義できます。 WDAC の詳細については、「 Windows Defender アプリケーション制御の展開プロセスの計画と開始」を参照してください。

(1) IoT Core を使用して小売製品 (非開発目的) を構築する製造元には、ドライバーの署名が必要です。 承認済みの証明機関 (CA) の一覧については、 カーネル モード コード署名のクロス証明書を参照してください。 UEFI セキュア ブートが有効になっている場合は、ドライバーに署名する必要があります。