Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Sus controladores deben estar firmados con un certificado antes de enviarlos al tablero de control de hardware. Su organización puede asociar cualquier número de certificados a su cuenta de panel y cada uno de los envíos debe estar firmado con cualquiera de esos certificados. No hay ninguna restricción en el número de certificados (tanto la validación extendida (EV) como la estándar) asociada a la organización.
En este artículo se proporciona información general sobre los tipos de firma de código disponibles para los controladores y los requisitos asociados para esos controladores.
Para obtener más información sobre los requisitos de firma de controladores, consulte las páginas siguientes:
- Cambios de firma de controladores en Windows 10
- Cambios en la firma digital de controladores en Windows 10, versión 1607
- Actualización del requisito de certificado sysdev EV
Dónde obtener certificados de firma de código EV
Los certificados de firma de código EV se pueden adquirir de una de las siguientes entidades de certificación:
- Certificado de firma de código CERTUM EV
- Certificado de firma de código EV de DigiCert
- Certificado de firma de código ev de GlobalSign
- Certificado de firma de código de IdenTrust EV
- Certificado de firma de código EV de Sectigo (anteriormente Comodo)
- Certificado EV de firma de código de SSL.com
Controladores firmados con certificado de validación extendida (EV)
La cuenta del panel del Centro de desarrollo de hardware debe tener al menos un certificado EV asociado para enviar archivos binarios para la firma de atestación o para enviar archivos binarios para la certificación HLK.
Se aplican las reglas siguientes:
- El certificado EV registrado debe ser válido al momento de la presentación.
- Aunque Microsoft recomienda firmemente que firme envíos individuales con un certificado EV, también puede firmar envíos con un certificado de firma Authenticode que también está registrado en su cuenta del Centro de Partners.
- Todos los certificados deben ser SHA2 y firmados con el
/fd sha256modificador de línea de comandos SignTool.
Si ya tiene un certificado EV aprobado de una entidad de certificación, puede usarlo para establecer una cuenta del Centro de partners. Si no tiene un certificado EV, elija una de las entidades de certificación y siga sus instrucciones de compra.
Una vez que la entidad de certificación comprueba la información de contacto y se aprueba la compra del certificado, siga sus instrucciones para recuperar el certificado.
Controladores firmados por HLK y probados por el panel
Un controlador firmado del panel que ha superado las pruebas HLK funciona en Windows Vista y versiones posteriores, incluidas las ediciones de Windows Server. Las pruebas de HLK son el método recomendado para la firma de controladores, ya que firma un controlador para todas las versiones del sistema operativo. Los controladores probados por HLK demuestran que un fabricante prueba rigurosamente su hardware para cumplir todos los requisitos de Microsoft con respecto a la confiabilidad, la seguridad, la eficiencia energética, la capacidad de servicio y el rendimiento, para proporcionar una excelente experiencia de Windows. Las pruebas incluyen el cumplimiento de los estándares del sector y el cumplimiento de las especificaciones de Microsoft para características específicas de la tecnología, lo que ayuda a garantizar la instalación, la implementación, la conectividad y la interoperabilidad correctos. Para obtener información sobre cómo crear un controlador probado por HLK para el envío del panel, consulte Introducción a Windows HLK.
Controladores firmados mediante atestación de Windows 10 para escenarios de prueba
La instalación de dispositivos Windows usa firmas digitales para comprobar la integridad de los paquetes de controladores y la identidad del publicador de software que proporciona los paquetes de controladores.
Con fines de prueba únicamente, puede enviar sus controladores para la firma mediante atestación, sin que se requieran pruebas de HLK.
La firma de atestación tiene las siguientes restricciones y requisitos:
Los controladores firmados con atestación no se pueden publicar en Windows Update para usuarios finales. Para publicar un controlador en Windows Update para audiencias comerciales, debes enviar el controlador a través del Programa de compatibilidad de hardware (WHCP) de Windows. La publicación de controladores firmados con atestación en Windows Update con fines de prueba se realiza seleccionando CoDev o Test Registry Key / Surface SSRK.
La firma de atestación solo funciona en Windows 10 Desktop y versiones posteriores de Windows.
La firma de atestación es compatible con los controladores en modo kernel y modo usuario del Escritorio de Windows 10. Aunque Microsoft no necesita firmar controladores de modo de usuario para Windows 10, se puede usar el mismo proceso de atestación para controladores de modo usuario y kernel. Para los controladores que necesitan funcionar en versiones anteriores de Windows, deben enviar registros de prueba de HLK/HCK para la certificación de Windows.
La firma de atestación no devuelve el nivel de PE adecuado para los archivos binarios de ELAM o Windows Hello PE. Estos archivos binarios deben probarse y enviarse como paquetes .hlkx para recibir los atributos de firma adicionales.
La firma de atestación requiere el uso de un certificado de validación extendida (EV) para enviar el controlador al Centro de partners (panel del Centro de desarrollo de hardware).
La firma de atestación requiere que los nombres de carpeta del controlador no contengan caracteres especiales, ninguna ruta de acceso a recursos compartidos de archivos UNC y que tenga menos de 40 caracteres.
Cuando un controlador recibe la firma de atestación, no está certificado por Windows. Una firma de atestación de Microsoft indica que Windows confía en el controlador. Pero dado que el controlador no se ha probado en HLK Studio, no hay garantías realizadas en torno a la compatibilidad, la funcionalidad, etc. Un controlador que recibe la firma de verificación no se puede publicar para usuarios comerciales a través de Windows Update. Si quieres publicar tu controlador en audiencias comerciales, debes enviar el controlador a través del Programa de compatibilidad de hardware (WHCP) de Windows.
DUA (Driver Update Acceptable) no admite controladores con firma de atestación.
Los siguientes niveles de PE y archivos binarios se pueden procesar a través de Atestación:
- PeTrust
- DrmLevel
- HAL
- .exe
- .cab
- .dll
- .ocx
- .msi
- .xpi
- .xap
Para obtener información sobre cómo crear un controlador con firma de atestación para Windows 10+, consulta Firma de atestación para controladores de Windows 10+.
Controladores firmados de Windows Server
- Windows Server 2016 y versiones posteriores no aceptan envíos de firma de dispositivos y controladores de filtro atestiguados.
- El tablero de control solo firma controladores de dispositivos y filtros que pasan exitosamente las pruebas de HLK.
- Windows Server 2016 y versiones posteriores solo cargan controladores firmados del panel que superan correctamente las pruebas de HLK.
Control de aplicaciones de Windows Defender
Las empresas pueden implementar una directiva para modificar los requisitos de firma de controladores mediante Windows 10 Enterprise Edition. El Control de aplicaciones de Windows Defender (WDAC) proporciona una directiva de integridad de código definida por la empresa, que se puede configurar para requerir al menos un controlador firmado por atestación. Para obtener más información sobre WDAC, consulta Planear y empezar a trabajar en el proceso de implementación de Control de aplicaciones de Windows Defender.
Requisitos de firma de controladores de Windows
En la tabla siguiente se resumen los requisitos de firma de controladores para Windows:
| Versión | Panel de atestación firmado | Panel de prueba de HLK aprobado y firmado | Firma cruzada mediante un certificado SHA-1 emitido antes del 29 de julio de 2015 |
|---|---|---|---|
| Windows Vista | No | Sí | Sí |
| Windows 7 | No | Sí | Sí |
| Windows 8/ 8.1 | No | Sí | Sí |
| Windows 10 | Sí | Sí | No (a partir de Windows 10 1809) |
| Windows 10: DG activado | *Dependiente de la configuración | *Dependiente de la configuración | *Dependiente de la configuración |
| Windows Server 2008 R2 | No | Sí | Sí |
| Windows Server 2012 R2 | No | Sí | Sí |
| Windows Server >= 2016 | No | Sí | Sí |
| Windows Server >= 2016 – DG habilitado | *Dependiente de la configuración | *Dependiente de la configuración | *Dependiente de la configuración |
| Windows IoT Enterprise | Sí | Sí | Sí |
| Windows IoT Enterprise: habilitado el DG | *Dependiente de la configuración | *Dependiente de la configuración | *Dependiente de la configuración |
| Windows IoT Core(1) | Sí (no obligatorio) | Sí (no obligatorio) | Sí (la firma cruzada también funcionará para los certificados emitidos después del 29 de julio de 2015) |
*Dependiente de la configuración: con Windows 10 Enterprise Edition, las organizaciones pueden usar el Control de aplicaciones de Windows Defender (WDAC) para definir los requisitos de firma personalizados. Para obtener más información sobre WDAC, consulta Planear y empezar a trabajar en el proceso de implementación de Control de aplicaciones de Windows Defender.
(1) La firma de controladores es necesaria para los fabricantes que crean productos comerciales (es decir, para un propósito no de desarrollo) con IoT Core. Para obtener una lista de entidades de certificación (CA) aprobadas, consulte Certificados cruzados para la firma de código en modo kernel. Si el arranque seguro UEFI está habilitado, los controladores deben estar firmados.