实现内核驱动签名的方法：EV代码签名证书

如今微软已经强制要求所有的内核驱动必须要通过严格的数字签名才能使用，否则系统将会直接拦截加载，要想在Windows操作系统上分发内核模式驱动程序并非易事，普通的代码签名证书完全派不上用场，只能选择更加高阶的证书类型——EV代码签名证书，那么实现内核驱动签名为什么需要使用EV代码签名证书呢？

　一、内核驱动签名为什么需要EV证书

普通的OV代码签名证书只能验证企业身份的合法性，微软认为它的安全性不足以保障内核层代码，而EV证书的验证流程要比OV证书严格得多，能够立即获取微软SmartScreen的信任度，消除不安全提示，更加符合微软对于内核驱动签名特定的要求。

　二、EV代码签名证书的优势

1、使用EV证书内核驱动签名后驱动才能加载运行，这是为内核模式驱动获取有效数字签名并通过系统验证的唯一官方认可方式。

2、EV证书签名的驱动提交给微软后能快速获得代码签名证书微软认证，内核驱动签名后立即具备信誉度。

3、彻底解决烦人的“Windows无法验证此驱动程序软件的发布者”或“此驱动程序未签名”等安全警报，提升用户安装体验。

4、向用户和合作伙伴展示驱动已通过最高等级的身份验证和安全标准，提升软件声誉和市场竞争力。

5、驱动在开启Secure Boot、启用内核隔离等高级安全特性的系统上能够无缝运行。

　三、申请EV代码签名证书的流程

1、选择可信CA。选择DigiCert、Certum、Comodo、Globalsign等全球可信的权威CA机构，可向安信证书提交EV代码签名购买申请。

2、完成严格验证。准备企业注册文件、申请人身份证明，配合CA完成所有验证步骤。

3、接收硬件令牌。CA会在通过验证之后将包含私钥和证书的专用USB Key邮寄给您，私钥始终存储在硬件中的，无法导出。

4、使用令牌签名驱动。将硬件令牌插入签名电脑，使用微软SignTool等签名工具，选择EV证书对驱动程序文件（.sys,.dll等）进行内核驱动签名，签名过程需在令牌上输入保护密码（PIN码）。

5、测试与分发：在Windows系统上测试签名后的驱动，确认无安全警告且加载正常后即可分发给用户，WHQL认证的用户需要使用EV代码签名证书提交给微软进行硬件兼容性测试。

企业如果需要开发或分发Windows内核模式驱动，必须要使用EV代码签名证书才能实现内核驱动签名，注意应该选择微软根证书计划长期信任的顶级CA，这样才能保证证书链被所有Windows系统无缝信任。

相关推荐：《DigiCert EV代码签名证书多少钱》