DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

マイクロソフト社によるカーネルモード署名用クロスルート証明書のサポートの終了について

ソリューション番号: ALERT2698
最終更新日: 2024/12/21

詳細

マイクロソフト社はこれまでカーネルモード署名用にクロスルート証明書を提供しておりましたが、2019年8月1日にその提供およびサポートを終了することを発表しました。2021年には提供していたほとんどのクロスルート証明書が有効期限を迎えますが、以降新しいクロスルートの提供は行われません。 

現在の署名でご利用いただいているクロスルート証明書の有効期限を迎えますと、以降は新しいカーネルモード署名はできなくなります。詳細につきましては、マイクロソフト社のページをご確認ください。

注意: クロスルート証明書は有効期限まではご利用いただけます。各デジサートブランド用にマイクロソフト社から提供されていたクロスルート証明書の有効期限は下記項目をご確認ください。

 

従来のクロスルート署名に代わる新しいマイクロソフトのプロセス

2021年からマイクロソフト社は新しいプログラムを用意しています。カーネルモード署名が必要な場合は、今後Windowsデベロッパーセンターを通してマイクロソフト社に登録、申請する必要があります。申請方法はこちらのページをご確認ください。

 

デジサートでの対応

これまでコードサインイング証明書の新規/更新/再発行申請時に提供していたプラットフォーム「Kernel-Modeドライバー」オプションを廃止します。
※旧シマンテックのコードサイニング証明書にはこのようなオプションはありませんので対象外です。

 

カーネルコード署名をおこなった署名についてはどのような影響がありますか。

  • タイムスタンプ付きでカーネルモード署名を行っていた場合は、クロスルート証明書の有効期限が切れた後も、問題なく動作します。
  • タイムスタンプを付加せずカーネルモード署名をされていない場合は、クロスルート証明書の有効期限が切れると無効な署名となります。

 

署名済みドライバーパッケージがクロスルート証明書の期限切れの影響を受けるか確認する方法はありますか?

クロスルート証明書が署名で使用されているか確認するには、Signtoolで確認コマンドを実行し、証明チェーンが「Microsoft Code Verification Root」で終わっているか確認します。

コマンド例: signtool verify  /v /kp <mydriver.sys>

出力結果サンプル:

 

デジサートブランド用クロスルート証明書の有効期限一覧

クロスルート証明書の名称(※)  有効期限
DigiCert Assured ID Root CA 2021/4/15
DigiCert High Assurance EV Root CA 2021/4/15
DigiCert Global Root CA 2021/4/15
GeoTrust Primary Certification Authority 2021/2/22
GeoTrust Primary Certification Authority - G3 2021/2/22
Thawte Primary Root CA 2021/2/22
Thawte Primary Root CA - G3 2021/2/22
VeriSign Class 3 Public Primary Certification Authority - G5     2021/2/22
VeriSign Universal Root Certification Authority 2021/2/22

 

※ルート証明書とクロスルート証明書は同名ですが異なる証明書です。ルート証明書の有効期限ではありませんのでご注意ください。