Skip navigation.
ホーム
Blog of Blogrommer
BLOG-ROMMER 日高のブログ
ホーム » ブログ » Atomu Hidakaさんのブログ

今どきの構成証明書署名(2024年版)

投稿者:Atomu Hidaka 投稿日時:木, 2024-07-25 16:24

前回記事から約5年で経って状況も代わって来たので、久しぶりにドライバー署名を取り上げる。ドライバー署名は、Windows ドライバー配布に、そして勿論開発にも必須である。現在の状況では、次の2種類がある。

1. HLK テスト済みのダッシュボードで署名されたドライバー
2. テスト シナリオ用の Windows 構成証明署名付きドライバー

わかり難い表現であるが、一般配布向けはHLK テスト済みのドライバー。試験的な配布ではテストしてない 構成証明署名付きドライバーの配布も可能である。

参考記事

https://learn.microsoft.com/ja-jp/windows-hardware/drivers/dashboard/cod...

ダッシュボードの管理画面

署名の違い

これら署名には、次の違いがある。HLK テスト済み署名は申請の際、該当のHLKテストに合格して、Windows HLK Studio でテスト結果とシンボル(オプション)をまとめて申請する。Windows Updateでの配布が可能である。一方で構成証明署名付きドライバー は自身で申請するドライバーパッケージを、CABファイルにまとめて申請する。

前記資料には「テスト目的でのみ、HLK テスト不要で構成証明署名のためにドライバーを送信できます。」と明確に記されている様に、一般向け配布は想定しておらず、Windows Updateからの配布は出来ない。

しかし申請手順は共通で、あらかじめMicorosoftパートナーに登録してハードウェア ダッシュボードに申請団体とユーザーを登録しておく必要がある。

Microsoft Windows ハードウェア開発者プログラムへの登録
https://learn.microsoft.com/ja-jp/windows-hardware/drivers/dashboard/har...

登録にはEV証明書というUSBドングル型の証明書を、コード証明書発行事業者から購入しておく必要がある。

https://learn.microsoft.com/ja-jp/windows-hardware/drivers/dashboard/cod...

にいくつかの事業者が載っているが事業者は毎年の様に変わり、また他の事業者発行のものでも可能だ。
弊社では取得価格が安価、継続利用割引きがあるという理由で、comodosslstore で調達している。

https://comodosslstore.com/

EV証明書の申請と使い方

必要書類や手続きは、発行事業者や申請年度によっても多少変わるが、日本国内の代理店に登記簿謄本の写しを送る程度だったと記憶している。

ダッシュボード

ダッシュボードの利用開始時には、利用団体の Microsoft Entra ID が必要である。
手順は下記のとおりである。
https://learn.microsoft.com/ja-jp/windows-hardware/drivers/dashboard/har...

アカウント開設時には、ダッシュボードからダウンロードした Winqual.exe ファイルに、EV証明書により署名して送る。
この作業はダッシュボードを利用する限りは毎年必要なため、実質的にはEV証明書も毎年購入する必要がある。

署名済 Winqual.exe ファイルを提出すると約1日程度でダッシュボードが利用可能になる。

Windows Hardware Lab Kit

HLK テスト済み署名の申請は、Windows HLK Studio で可能で、Windows Hardware Lab Kit で解説されている。

https://learn.microsoft.com/ja-jp/windows-hardware/test/hlk/

構成証明書署名の申請手順

以下に構成証明書署署名取得のための、ダッシュボードへの申請手順を示す。

構成証明署名 Windows ドライバー

https://learn.microsoft.com/ja-jp/windows-hardware/drivers/dashboard/cod...

1. 申請するドライバーパッケージ(PDB付き)用意、デバッグビルドでも可能、シンボル
2. CABファイル作成(少し面倒)
3. EV証明書で署名(ややこしいので解説)
4. 申請のサブミット(ややこしいので解説)
5. 署名済パッケージの受け取り(ややこしいので解説)

1. 申請するドライバーパッケージ(PDB付き)用意、デバッグビルドでも可能、シンボル

2. CABファイル作成
は、コマンドファイルにしておくと便利

3. EV証明書で署名
は、一番の注意点。前述の、EV証明書の Signtoolの書法(パラメータ)だと、EV署名が出来ない場合が多い。
しかもそのパラメータや実行の指定ファイルが、ときどき変わる場合がある点に注意が必要がある。

4. 申請のサブミット

サブジェクトを作る

5. 署名済パッケージの受け取り(ややこしいので解説)

署名が完了すると、わかり難いが進行状況表示バー右端下に < More > の表示。これをクリックすると「Download signed files」黒いボタンが現れる。この黒いボタンをクリックすることで念願の署名済パッケージを圧縮したzipファイルをダウンロードすることが出来る。

注意点

- Windows 11 と ARM64 導入により32bit署名が無くなった
- 対応Windows のバージョンの指定方法
- ダッシュボードサイトがときどき、止まっている場合がある。過去の例では1日程度で復旧しているので待つしかない。

参考リンク

Windows 10用ドライバー署名(2019年版)

»