- セクティゴ・コモドSSLトップ
- > サポート
サポート
◆ こちらからサポート記事を検索いただけます
署名方法について (コード証明書関連)
Windowsのドライバー署名について(EV)
Windowsのドライバー署名について
Windows ドライバーの署名方法は、OSのバージョンやドライバーのモードなどにより方法が異なります。
Microsoft ではセキュリティ環境の変化と現実的な利便性の観点から、いままでも、署名方法を変更してきた経緯があります。例えば、2016年11月10日から「 Windowsドライバー署名のHCK/HLKの登録サイト」が「Hardware Dev Center Dashboard」に変更になりました。
本ページでは 2017年1月18日現在のMicrosoftの資料をもとにWindowsドライバーへの署名方法をまとめたものです。
署名対象のドライバーが、Windows Vista 32bitからWindows10までのどのOS向けのものか、あるいは複数のOS向けのものかによって署名方法が異なる場合があります。
Windows10の場合は、OSがどのようにインストールされたかによっても署名方法に影響がありますので特に注意が必要です。
ドライバーのモードには「ユーザー モード」と「カーネル モード」があります。
カーネル モードドライバーWindows Vista64bit以降で利用できる2つの署名方法
Windows Vista 64bit以降すべてのカーネル モード ドライバーは署名が必要で、以下の2つの異なる署名方法が利用できます。
WHQLに登録することにより、Microsoftによる署名(Certify your driver with Microsoft)を得ることができます。
「Windows対応」のロゴマークを使用することが許可されるなどのメリットがあります。 Hardware Dev Centerで登録します。
SignToolコマンドでSPC証明書を指定してカーネル モードドライバーに署名します。
署名方法 | 内容 | 特記事項 |
---|---|---|
Windowsハードウェア認定 | Hardware Dev Centerへの登録により Microsoftが署名 | Hardware Dev Center に登録すると「Windows対応」のロゴマークを使用することが許可されるなどのメリットを受け取れる。 |
SPC証明書による署名 | 「通常版コードサイニング証明書あるいは EVコードサイニング証明書」と「MicrosoftのCross-Certificate(クロスルート証明書)」による署名 | boot-start driversの場合はSPC証明書を利用した埋め込み署名が必要。 |
Windowsハードウェア認定手順と証明書
Windows10の場合
「HLKを利用する方法」と「構成証明署名」の2つの方法があります。
-
ハードウェア ダッシュボードに登録
会社をハードウェア ダッシュボードに登録します。この手順中でWinqual.exeファイルに EVコードサイニング証明書で署名する必要があります。
-
HLKのインストールとテストの実行
提出パッケージの作成過程ですべての提出にEVコードサイニング証明書で署名する必要があります。
- ハードウェア ダッシュボードに提出認定を受ける
構成証明署名は、Windows10デスクトップのカーネル モード ドライバーとユーザー モード ドライバーをサポートしています。
構成証明署名は以下の手順により行います。
- EVコードサイニング証明書を取得
- ハードウェア デベロッパー センター (Sysdev) ダッシュボード サービス用に会社を登録
- Windows Driver Kitをインストール
- CABファイル提出を作成
- EVコードサイニング証明書を使って CAB ファイル提出に署名
- ハードウェア デベロッパー センター (Sysdev) ダッシュボードでCABファイルを提出
- ドライバが正しく署名されていることを検証する
- Windows 10でデスクトップ用のドライバをテストする
Windows Vista ~ Windows8+の場合
-
ハードウェア ダッシュボードに登録
会社をハードウェア ダッシュボードに登録します。この手順中でWinqual.exeファイルにEVコードサイニング証明書またはコードサイニング証明書で署名する必要があります。
-
HCKのインストールとテストの実行
提出パッケージの作成過程ですべての提出にEVコードサイニング証明書またはコードサイニング証明書で署名する必要があります。
- ハードウェア ダッシュボードに提出認定を受ける
Windows Vista ~ Windows10のすべてで利用できるカーネル モードドライバーの場合
Windows10についてHLKテストを行い、Windows 8.1以前のバージョンについてHCKテストを行った後、2つのテストログとテスト結果をWindows10のHLKでマージしてWindows Hardware Developer Center Dashboard portalに提出します。
- Windows10についてHLKテストを行う
- Windows8.1以前のバージョンについてHCKテストを行う
- 2つのテストログとテスト結果をWindows10のHLKでマージする
- Windows Hardware Developer Center Dashboard portalに提出
Package過程でWindows Vista、Windows7についてはSHA-1証明書が必要です。sha256(SHA-2)はWindows8以降でサポートされます。
Windows10 (Version 1607) カーネル モードドライバー
Windows10のdesktop editions (Home, Pro, Enterprise, Education) とWindows Server 2016向けのカーネル モードドライバーはWindows Hardware Developer Center Dashboard portalでの署名が必要で、この時EVコードサイニング証明書が必要です。
上記にもかかわらず、他のOSからWindows10 (Version 1607) にアップグレードされたOSの場合、Windows Code Integrityは DevPotal (Windows Hardware Developer Center Dashboard portal) での署名がなくても Windows8までで有効な署名であればインストール可能です。
新規インストールのWindow10(Version 1607) は DevPotal (Windows Hardware Developer Center Dashboard portal) での署名がないカーネル モードドライバーはインストールできません。
Windows10 (Version 1607) 向けのカーネル モードドライバーに新規に署名する場合、以下を参照してください。NGとなっている署名方法は利用できません。
OSのインストール状況 | Secure Boot | 署名方法 | 可否 |
---|---|---|---|
新規インストール | ON | Windowsハードウェア認定 | OK |
新規インストール | ON | SPC 証明書による署名 | NG |
新規インストール | OFF | Windowsハードウェア認定 | OK |
新規インストール | OFF | SPC 証明書による署名 | OK |
アップグレード | ON | Windowsハードウェア認定 | OK |
アップグレード | ON | SPC 証明書による署名 | OK |
アップグレード | OFF | Windowsハードウェア認定 | OK |
アップグレード | OFF | SPC 証明書による署名 | OK |
SPC証明書による署名済みのカーネル モードドライバーで、2015年7月29日以降に発行された証明書を使っている場合、新規インストールWindows10 (Version 1607) Secure Boot ON向けでは再署名が必要です。
sha256(SHA-2)対応
SHA-256はWindows8以降でサポートされます。
Windows VistaについてはSHA1証明書が必要です。修正プログラムを適用したWindows7はSHA-256証明書をサポートします。
32bitカーネル モード ドライバー署名
Windows Vista以降の32bitでも、カーネル モード ドライバーは署名されていないとインストールできません。
ユーザー モード ドライバー署名
32bitのユーザー モード ドライバーでも署名が推奨されています。
Windows8以降は、ユーザー モード ドライバーでも署名がないとインストールできません。
インストール関連 |
署名方法について |
トラブルシューティング |
その他 |
マニュアル
各種手続きについて
- 古いSHA1ルート終了における対応につきまして。
- 新ドメイン認証レベルで確認させていただく内容
- オンラインDBへの電話番号確認
- DUNSの新規登録申請はオンラインで簡単
- ドメイン認証レベルで確認させていただく内容
- 企業認証レベルで確認させていただく内容
- 認証レベルに応じた確認・必要書類はなんですか
- 申請ドメインの登録状態を確認しよう :whoisチェック
- 企業情報(登録確認)にはどのような媒体がありますか?
- 無償版SSLとは
- 申請までにご準備いただく物
- お申込みから納品までの流れ
- 費用の支払方法
- お見積書発行依頼
- 請求書の発行依頼
- 更新の申請方法
- 販売パートナ・アフェリエイトパートナーになる。
- ID/パスワードを忘れたら
購入前のご質問
- セクティゴの補償とは一体どのようなものでしょうか?
- FileMaker(ファイルメーカー)製品対応SSLについて
- 携帯電話、スマートフォン、タブレット対応状況
- 新旧ドメイン認証タイプの比較
- 携帯電話・スマートフォン対応状況(ユニファイドコミュニケーション)
- ドメイン管理状況の認証 (DCV) を実施
- ブラウザーの互換性
- マルチドメインは何個まで追加できますか
- 追加ドメインの購入はどのように申請するのでしょうか?
- IEの設定の「信頼されたルート証明期間」のなかでどのように表示されますか?
- コードサイニング証明書とはなんですか?
- ユニファイドコミュニケーションとはなんですか?
- どのようにすればSSLをテストできるでしょうか?
- コモドのSSL証明書は顧客のブラウザーで正しく動作するでしょうか?
- 補償とは一体どういう意味でしょうか?
- コモドのSSLはどのバージョンのSSLプロトコルと互換性がありますか?
- SGCとは何でしょうか?
- お申込フォームで間違った申請をしてしまいました。
- コモドのSSLはどのバージョンのSSLプロトコルと互換性がありますか?