适配系统:Windows 7/8/8.1/10/11 全版本、Windows Server 2016/2019/2025
政策依据:微软2026年4月驱动安全更新、WHCP(原WHQL)硬件兼容性计划、交叉签名全面废止新规

一、2026年微软驱动签名核心政策重要提示

2026年4月微软安全更新起,Windows 11 24H2/25H2/26H1、Windows Server 2025及后续所有新版系统,正式停止默认信任传统交叉签名驱动,仅认可通过微软WHCP(Windows硬件兼容性计划,原WHQL)认证+官方最终签名的内核驱动。

  1. 当前主流Windows系统(Win10全版本、Win11、新版服务器系统)默认开启Secure BootHVCI(基于虚拟机的代码完整性保护),仅使用第三方普通代码签名、EV证书完成本地交叉签名的内核驱动,将直接被系统拦截加载,无法正常安装运行。

  2. 传统内核交叉签名方案已被微软全面弃用,交叉证书不再被系统信任,所有面向公开发布、商用流通的内核驱动,必须提交微软硬件开发者中心,完成WHCP认证或证明签名(Attestation Signing),由微软加盖最终签名方可合规使用。

  3. 区分使用场景:证明签名仅适用于内部测试场景,不支持推送至Windows Update、无法面向零售终端分发;商用量产、公网分发、服务器部署的驱动,强制要求完成完整WHCP(WHQL)认证

  4. 临时测试环境说明:仅开发调试场景可开启系统测试模式(Test Signing)加载自签名/本地EV签名驱动,生产环境严禁关闭驱动签名强制验证,会带来严重安全风险。

二、代码签名证书与驱动签名分类说明

结合2026年现行规则,代码签名证书与驱动签名模式划分如下,淘汰旧版交叉签名逻辑:

(一)代码签名证书类型

  1. EV代码签名证书(强制主流)
    商用驱动、内核驱动、正式提交微软WHCP/证明签名必备证书,存储于硬件加密令牌,私钥不可导出,身份核验严格,是微软硬件开发者中心的准入前提。

  2. 普通代码签名证书(限制使用)
    仅可用于应用模式驱动、普通EXE/DLL应用程序本地签名,2026年起完全禁止用于内核模式驱动签名,主流新版Windows系统直接拦截此类内核驱动。

(二)驱动运行模式划分

  1. 内核模式驱动:运行于系统内核层(.sys文件为主),权限最高,管控严格,是本次政策收紧的核心对象,商用必须走微软官方签名流程。

  2. 应用模式驱动:运行于用户层,权限较低,签名规则相对宽松,可使用合规证书本地签名。

三、分场景驱动签名实操教程(2026合规方案)

所有签名命令统一强制使用 SHA256哈希算法(微软已全面淘汰SHA1),工具统一使用微软官方signtool.exe,所有示例默认证书文件、驱动文件处于同一运行目录。

前置通用要求

  1. 已申请微软信任CA机构颁发的EV代码签名证书(硬件令牌版);

  2. 已注册微软硬件开发者中心账号,并完成EV证书绑定;

  3. 系统已配置完整Windows SDK,确保signtool.exe可正常调用;

  4. 时间戳服务器优先选用微软官方或权威第三方SHA256时间戳地址。

场景一:内核模式驱动(商用/公开发布 · 推荐方案)

核心规则:2026年无例外,内核驱动禁止本地独立签名,必须分两步:本地EV证书预签名 → 提交微软硬件中心完成WHCP认证/证明签名(微软出具最终签名)。

步骤1:使用EV证书对驱动包(CAB/HLKX)本地预签名

该步骤用于向微软验证开发者身份,是提交审核的前置操作,不再使用交叉证书。

signtool.exe sign /v /a /s /n "你的公司名称" /tr 时间戳服务器URL /td sha256 /fd sha256 "驱动包.cab"

参数说明:

  • /n "你的公司名称":EV证书内登记的完整企业名称;

  • /tr /td sha256 /fd sha256:强制SHA256算法,2026年硬性要求;

  • 驱动包.cab:打包完成的驱动安装包。

步骤2:提交微软硬件开发者中心获取官方签名

  1. 登录微软硬件开发者中心,上传已完成EV预签名的CAB/HLKX驱动包;

  2. 按需选择签名类型:

    • WHCP(原WHQL)认证:运行全套HLK硬件兼容性测试,通过后获得微软官方签名,支持全系统、服务器、Windows Update推送、零售分发(商用首选);

    • 证明签名(Attestation Signing):无需HLK测试,微软自动化校验签名,仅适用于企业内部测试、设备调试,禁止零售分发与服务器部署

  3. 审核通过后,下载微软二次签名后的完整驱动文件,该文件为最终合规版本。

步骤3:驱动签名验证(通用验证命令)

无论哪种签名方式,完成后务必执行验证,确认签名合规有效:

signtool verify /v /kp "xxx.sys"

正常返回结果:显示签名者为微软硬件兼容性计划 + 企业EV证书双重信息,无签名报错。

场景二:内核模式驱动(纯本地测试环境 · 仅开发调试)

该方案仅限隔离开发机使用,不得用于生产、商用、对外分发,需临时关闭部分系统安全策略:

  1. 开启系统测试模式(管理员身份运行命令提示符)

    bcdedit /set testsigning on

    执行后重启电脑,桌面右下角会显示"测试模式"水印。

  2. 使用EV代码签名证书本地签名内核驱动(无交叉证书,旧交叉签名命令彻底废弃)

    signtool.exe sign /v /a /s /n "你的公司名称" /tr 时间戳服务器URL /td sha256 /fd sha256 "xxx.sys"

  3. 测试完成后,关闭测试模式(恢复系统安全策略)

    bcdedit /set testsigning off

    重启电脑即可恢复正常签名强制规则。

重要提醒:Windows 11高版本开启HVCI时,即便开启测试模式,部分内核驱动仍可能被拦截,测试环境建议临时关闭HVCI。

场景三:应用模式驱动(用户层驱动/普通EXE/DLL程序)

应用模式驱动不受内核级强策略限制,在全版本Windows系统中,可直接使用EV代码签名证书或合规普通代码签名证书完成本地签名,支持正常分发。

1. EV代码签名证书签名(推荐,兼容性最佳)

signtool.exe sign /v /a /s /n "你的公司名称" /tr 时间戳服务器URL /td sha256 /fd sha256 "xxx.exe"

2. 普通代码签名证书签名(仅应用模式可用)

signtool sign /v /f "xxx.pfx" /p 证书密码 /tr 时间戳服务器URL /td sha256 /fd sha256 "xxx.exe"

参数说明:

  • xxx.pfx:普通代码签名证书文件;

  • 证书密码:PFX证书的解密密码。

四、旧版系统兼容方案(Windows 7/8/8.1)

Windows 7、Windows 8、Windows 8.1已停止主流支持,微软2026年新驱动策略对该类旧系统无强制约束Secure Boot默认未开启,规则保持宽松:

  1. 内核/应用驱动均可使用EV证书、普通代码签名证书本地签名运行;

  2. 不建议再使用传统交叉签名方式(微软已淘汰该技术);

  3. 若需在旧系统中部署新开发驱动,优先使用EV证书签名,兼顾安全性与兼容性。

五、常见问题与合规建议(2026新版)

1. 老旧交叉签名驱动批量失效如何解决?

2026年4月更新后,存量交叉签名内核驱动在Win11 24H2+、Server 2025中默认无法加载。解决方案:

  • 长期方案:重新使用EV证书打包驱动,提交微软完成WHCP认证,替换旧驱动;

  • 临时方案(企业内网):通过组策略/应用控制添加驱动白名单,不建议个人用户使用

2. 证明签名与WHCP(WHQL)认证如何选择?

签名类型适用场景系统支持分发限制
证明签名内部测试、设备调试、非商用仅Win10/11桌面版禁止Windows Update推送、禁止零售分发
WHCP认证商用量产、硬件配套、服务器、公网分发全Windows桌面+服务器系统无分发限制,微软官方背书

3. 能否绕过签名策略运行未认证驱动?

不建议生产环境绕过。关闭Secure Boot、禁用驱动签名强制、关闭HVCI等操作,会大幅降低系统安全性,易遭受恶意内核程序攻击,仅允许在独立开发测试机临时使用。

六、增值服务咨询

若您需要EV代码签名证书代办、微软WHCP(原WHQL)认证协助、驱动一站式签名解决方案,可联系上海笛可软件科技有限公司,我们拥有多年底层驱动与代码签名服务经验,助力驱动快速合规上线、市场化推广。

修订说明

  1. 彻底删除2020版旧文交叉证书、内核交叉签名相关命令与流程,匹配微软2026年交叉签名废止政策;

  2. 同步更新WHQL为现行官方名称WHCP(Windows硬件兼容性计划)

  3. 强化SHA256算法、HVCI、Secure Boot等新版系统安全机制说明;

  4. 区分测试环境与商用环境,明确不同签名方式的使用边界与合规风险;

  5. 补充Windows Server 2025、Win11 24H2/25H2/26H1等最新系统适配规则。