简介:
本文为2025年版《2025年win10签名设置与验证指南》。面向注重硬件质量、系统使用技巧与故障解决的电脑/手机及数码产品用户,提供从获取代码/驱动签名证书、在Windows 10上完成签名到多种验证方法的实操流程与场景说明,并补充必要的背景知识与进阶要点,便于读者在软件分发、驱动发布及安全检测场景中正确配置与判断签名状态。
工具原料:
系统版本:
- Windows 10 Pro / Enterprise 22H2 (Build 19045.xxxx,2024-2025 最新累积更新已安装)
- Windows 10 LTSC 2021(企业或嵌入式场景仍在使用)
品牌型号:
- Dell XPS 13 Plus 9320(2023-2024 机型,Windows 10 Pro 22H2)
- Lenovo ThinkPad X1 Carbon Gen 11(2024,Windows 10 Pro 22H2)
- Microsoft Surface Laptop 5(2023,Windows 10 Pro 22H2)
- 测试服务器:Intel NUC 13 Pro(2024,Windows Server 2022/Windows 10)
软件版本:
- Windows SDK / signtool(Windows SDK 10.x 最新版,含 signtool)
- Windows Driver Kit (WDK) / Driver Signing Tools(WDK 10 最新版)
- PowerShell 7.3/7.4(兼容 PowerShell 5.1 系统内置命令)
- Sysinternals sigcheck(最新 2024/2025 版)
- OpenSSL 3.x(用于生成 CSR/Key 的跨平台工具)
- osslsigncode(跨平台可选,针对非 Windows 平台的 PE 签名)
1、签名的目的:数字签名保证文件来源可溯、内容未被篡改,并参与系统对可执行文件、驱动、MSIX/APPX 包或 PowerShell 脚本的信任判断。在企业分发、公开发布及驱动安装等场景中至关重要。
2、签名种类:用户态代码签名(Authenticode,用于 exe、dll、MSI、MSIX 等);内核/驱动签名(Kernel-mode driver,64 位系统通常要求通过 Microsoft attestation 签名);脚本签名(PowerShell 脚本的 Authenticode 签名);以及应用包(MSIX/Appx)签名。
3、证书类型:OV/Standard Code Signing(组织验证)与 EV Code Signing(扩展验证,通常用于驱动上交 Microsoft attestation 或提高信任度)。注意:SHA-2(SHA256)算法是当前标准,SHA-1 已弃用。
1、向受信任 CA 提交 CSR:使用 OpenSSL 或 Windows certreq 生成私钥与 CSR。大型 CA(如 DigiCert、Sectigo 等)通常提供 OV 与 EV 证书。EV 证书颁发有额外的身份验证步骤,并常要求硬件令牌(HSM/USB Key)或支持的签名设备。
2、证书存储:得到 PFX(含私钥)后,导入 Windows 证书库或保存在安全介质(建议使用智能卡/HSM 或微软支持的软 token),避免私钥泄露。
3、工具安装:安装 Windows SDK(以获取 signtool),并确保 WDK 在需要签名驱动时可用。安装 sigcheck(Sysinternals)作为验证辅助工具。
1、普通可执行文件签名(Authenticode)示例:
使用 signtool(推荐使用 /tr RFC3161 时间戳服务来确保长期信任):
signtool sign /f mycert.pfx /p
说明:/f 指 PFX 文件(也可用 /csp /kcsp 指定智能卡),/fd 指文件摘要算法,/tr 指 RFC3161 时间戳 URL,/td 指时间戳摘要算法。
2、使用证书仓库自动选择证书:
signtool sign /n "公司名称或证书主题" /fd SHA256 /tr http://timestamp.digicert.com "MyApp.exe"
3、驱动签名(KMDF/UMDF/内核驱动)流程要点:
- 对 64 位 Windows 10:内核模式驱动必须通过 Microsoft 的签名(attestation 或 WHQL)才能在受保护的系统上加载。流程通常是:本地签名 -> 生成 zip 包上交 Windows Hardware Dev Center(Partner Center)进行 attestation ->
有用
53
