certum ev代码签名证书为sys驱动程序whql账户注册和认证教程

微软收紧账户审核（周期约 1 个月），且云端证书需通过 SimplySign Desktop 调用，不可直接使用 USB Key。

一、 前期准备（缺一不可）

1. Certum EV 云端证书：确保 SimplySign 账户激活，手机 App 可生成 2FA 令牌。

2. Azure AD (Entra ID)：拥有全局管理员（Global Admin）权限的租户。

3. 信息一致性：证书 Subject 中的 

"O="（公司名称）必须与 Azure AD 企业资料、营业执照完全一致（含大小写与空格），否则 File Challenge 必败。

二、 WHQL 账户注册与认证（2026 流程）

1. 注册 Hardware Dev Center

- 入口：访问 

"partner.microsoft.com/dashboard/hardware"，使用 Azure AD 全局管理员登录。

- File Challenge（关键步骤）：

   - 下载验证文件 

"verification.bin"。

   - 使用 Certum EV 签名该文件。

   - 上传签名后的文件完成企业验证。

2. 关联 EV 证书（解决“找不到证书”）

- 操作：在 “Manage certificates” 选择 “Upload certificate file”。

- 文件：从 SimplySign 管理界面导出 

".cer"（仅公钥） 文件上传。注意：云端私钥在 HSM，网页无法自动检测，必须手动上传。

3. 审核周期

- 2025 年底政策更新后，新账户审核周期可能延长至 1 个月左右，需耐心等待。

三、 驱动签名与认证（.sys 文件）

1. 测试阶段（HLK/HLKX）

- 使用 Windows HLK 工具测试驱动，生成 

".hlkx" 测试包。

- 签名测试包：必须先用 Certum EV 对 

".hlkx" 包进行签名，才能提交。

2. 生产阶段（.sys 文件签名）

云端证书必须使用 SimplySign Desktop（安装并登录）：

signtool sign /fd sha256 /tr http://time.certum.pl /td sha256 /a "driver.sys"

- 参数说明：

   - 

"/a"：自动选择当前有效的 EV 证书（依赖 SimplySign Desktop 映射）。

   - 

"/tr"：必须添加 Certum 时间戳，否则证书过期后驱动失效。

3. 提交认证

- 将已签名的 

".hlkx" 包上传至 Hardware Dashboard，等待微软交叉签名（Cross-signing）。通过后驱动属性将显示 “Microsoft Windows Hardware Compatibility Publisher”。

四、 云端证书操作避坑指南

1. 勿寻 USB Key：云端版无实体令牌，私钥在云端 HSM，所有操作需通过 SimplySign Desktop 或 API 调用。

2. 时间戳必加：所有签名命令必须包含 

"/tr http://time.certum.pl"。

3. 验证命令：签名后执行 

"signtool verify /v /pa driver.sys" 确认成功。

五、 2026 年时间预估

- 账户注册+审核：约 1 个月（政策收紧）。

- 驱动测试+签名：1-2 周（技术环节）。

- WHQL 认证审核：简单驱动约 1 小时，复杂设备约 2 天。

若在 File Challenge 环节 signtool 报错 “No certificates found”，请确认 SimplySign Desktop 已登录且证书状态为 “Valid for Code Signing”。