对于硬件驱动开发者而言,WHQL认证无疑是产品走向市场的“入场券”,它是驱动能在Windows上正常加载、分发的唯一通行证。然而,大量厂商常陷入误区,误以为EV代码签名就是WHQL认证。其实两者是“前置+流程”关系。EV代码签名是WHQL的强制前提,没有合规EV签名,连提交入口都没有!本文将为您讲清两者的核心关系、完整流程与常见误区。
代码签名不是WHQL的替代品,而是强制前置条件。EV代码签名负责“证明你是谁”,向微软证明驱动发布者是真实合法企业,且私钥受硬件级保护;WHQL认证负责“证明你做得好不好”,证明驱动兼容Windows、不蓝屏、符合微软标准。
流程顺序必须严格遵循:先拿EV代码签名 → 注册微软账户 → 做WHQL测试 → 拿微软官方签名。特别强调,WHQL认证必须使用EV代码签名证书,普通代码签名完全不可用!
在WHQL认证链路中,EV签名起着关键的“守门人”作用。
注册微软硬件开发者中心账户:必须用EV证书签名微软提供的注册文件,完成企业身份核验,普通OV证书无法注册。
驱动提交前预签名:驱动包与测试日志提交前,必须用EV证书预先签名,微软才会接收并允许进入WHQL测试流程。
1、申请EV代码签名证书:选择微软认可的CA(如DigiCert、GlobalSign),完成企业法律实体核验,获取HSM硬件令牌存储私钥。
2、注册微软硬件开发者中心:下载微软签名文件,用EV证书签名后上传完成账户认证,绑定Azure AD。
3、准备驱动程序包:确保.sys、.dll、.inf、.cat文件齐全,符合Windows驱动规范。
4、驱动预签名:使用SignTool+EV证书对驱动.cat/.sys/.cab签名,必须加RFC3161时间戳。
5、WHQL兼容性测试:使用HLK工具完成全量测试,生成测试报告。
6、提交审核:已签名驱动与测试报告上传开发者平台,等待微软后台审核。
7、获得微软官方签名:审核通过后,驱动获微软WHQL签名,可正式分发、进入Windows Update。
误区一:有EV代码签名就不需要WHQL认证。这是相当危险的!从Win10 1607版本开始,内核驱动必须过WHQL,否则系统强制拦截加载,仅有EV签名无用。
误区二:WHQL可以替代代码签名。这同样错误,WHQL强制要求EV签名作为前提,无EV证书微软根本不受理。EV签名不等于WHQL认证,两者互补缺一不可。
微软自2021年起硬性规定内核驱动提交WHQL必须用EV证书,原因有三。
首先是硬件级安全:EV私钥必须存HSM硬件,不可导出,防泄露防盗用。
其次是强身份核验:CA严格审核企业法律实体、运营状态与授权签字人,杜绝伪造。
最后是系统信任基础:Windows强制信任链依赖EV证书作为企业身份根,构建安全闭环。
EV代码签名与WHQL认证是驱动迈向Windows生态的关键拼图,企业只有厘清逻辑、按部就班,才能确保硬件产品在Windows系统上畅通无阻。
沃通CA提供全球信任的EV代码签名证书产品,与DigiCert、GlobalSign等全球知名证书颁发机构深度合作,符合微软WHQL流程对证书的应用要求;基于丰富的行业经验和本土的服务优势,能够帮助用户高效解决证书申请、证书签发、证书Ukey邮寄及软件代码签名等各类应用问题,帮助开发者更加高效地完成证书申请、软件签名及发布。
4006-967-446
沃通数字证书商店
