ev代码签名证书为hlkx报告签名，微软WHQL徽标认证

HLKX 报告是 Windows 硬件认证（WHQL）的测试结果包，必须用 EV 代码签名证书签名才能提交微软硬件仪表板。下面给你完整流程与命令。

一、准备工作

EV 代码签名证书（比如globalsign ev代码签名证书带令牌）

必须是微软认可 CA：DigiCert、GlobalSign、Certum、Sectigo。

工具安装

安装 USB 令牌驱动（如 SafeNet Authentication Client）。

安装 Windows SDK / WDK（含 signtool.exe）。

安装 HLK Studio（生成 .hlkx）。

环境要求

签名主机直连 USB 令牌（远程桌面可能识别不到）。

系统时间正常、网络可访问时间戳服务器。

二、生成 HLKX 报告

在 HLK Studio 完成所有测试并通过。

导出测试结果 → 生成 xxx.hlkx 文件。

合并多平台（x86/x64）hlkx 为一个包（如需）。

三、用 EV 证书签名 HLKX

signtool 命令行,打开管理员 CMD，执行：

signtool sign /fd sha256 /td sha256 /tr http://timestamp.digicert.com /a /v "D:pathyour.hlkx"

/fd sha256：哈希算法（微软强制 SHA256）Microsoft Learn。

/tr：时间戳（防证书过期失效，必加）。

/a：自动选择证书（插入令牌后自动识别 EV）。

执行时弹出令牌 PIN 码，输入即可。

四、验证签名

运行

signtool verify /v /kp "your.hlkx"

输出：成功验证 + 显示 EV 证书信息与时间戳。

也可右键 hlkx → 属性 → 数字签名查看。

五、提交微软认证

用注册过 EV 证书的硬件仪表板账号登录。

上传已签名的 hlkx → 提交审核。

审核通过后，微软二次签名，驱动获 WHQL 徽标。

六、常见问题

找不到证书：令牌驱动未装、未插 USB、未输 PIN、证书未导入当前用户证书库。

签名失败：用 SHA256、加时间戳、管理员权限、直连令牌。

提交被拒：确认 EV 证书已绑定仪表板账号、证书在有效期内Microsoft Learn。

七、关键要点

✅ 必须 EV 证书（普通 OV 不行）Microsoft Learn。

✅ 必须时间戳（否则证书过期后签名失效）。

✅ 必须 SHA256（微软强制）Microsoft Learn。

✅ 优先 signtool 命令行（HLK Studio 签名易失败）。

由于hlkx报告文件是下载到本机电脑里签名，所以certum ev代码签名证书云端（无令牌）也可以对其签名，上传认证