Microsoft 将停止支持第三方内核模式驱动程序包数字签名
签署内核模式驱动程序包的流程将更改。从 2021 年开始,Microsoft 将成为生产内核模式代码签名的唯一提供商。以后,您需开始依照 Microsoft 更新的说明签署任何新的内核模式驱动程序包。请参阅 Windows 硬件合作伙伴中心。
DigiCert 正如何应对?
作为该弃用流程的第一步,DigiCert 从代码签名证书表单中移除了 Microsoft 内核模式代码平台选项:新、补发和续订。
这意味着,您以后无法再为内核模式平台订购、补发或续订代码签名证书。
这对我现有的内核模式代码签名证书有什么影响?
您可以继续使用现有的证书签署内核模式驱动程序包,直至证书链中的交叉签名根到期。DigiCert 品牌的交叉签名根证书于 2021 年到期。
有关更多详情,请参阅我们的知识库文章,Microsoft 停止支持具有内核模式签名功能的交叉签名根证书。
CertCentral:域验证范围设置仅适用于 TLS 订单
在“分区首选项”页面的域控制验证 (DCV) 下,我们更新了域验证范围设置:提交要验证的准确域和提交要验证的基域。通过这些更新的设置,您在通过 TLS 证书订购流程提交新域时可以定义默认的域验证行为:EV、OV 和 DV。这些设置不再适用于域预验证流程。*
*这些更改对域预验证流程有什么影响?
在提交域进行预验证时,可以在任何级别(基域或任何更低级别的子域:example.com、sub1.example.com、sub2.sub1.example.com,等等)验证域。请参阅域预验证。
适用于浏览器生成的代码签名证书订单的"重新发送创建证书电子邮件"选项
在支持的浏览器中生成证书的订单的代码签名证书流程中,新增了重新发送创建证书电子邮件选项:IE 11、Safari、Firefox 68 和便携式 Firefox。
现在,当代码签名证书订单的状态为已发送电子邮件给收件人时,,可以重新发送证书生成电子邮件。
有关更多信息,请参阅重新发送"创建 DigiCert 代码签名证书"电子邮件。
Firefox 不再支持密钥生成
随着 Firefox 69 的发行,Firefox 最终终止支持 Keygen。Firefox 使用 Keygen 帮助生成密钥材料,用于在浏览器中生成代码签名、客户端和 SMIME 证书时提交公钥。
注意:Chrome 已经终止支持密钥生成,而 Edge 和 Opera 从不支持密钥生成。
对您有什么影响?
DigiCert 颁发代码签名、客户端或 SMIME 证书后,我们向您发送一封电子邮件,其中包含用于创建和安装证书的链接。
发行 Firefox 69 后,您只能使用两种浏览器生成这些证书:Internet Explorer 和 Safari。如果公司政策要求使用 Firefox,您可以使用 Firefox ESR 或 Firefox 的可携带副本。
有关更多信息,请参阅 Firefox 69 将终止支持 Keygen。
提示和技巧
我们已将新状态已发送电子邮件给收件人,添加到代码签名和客户端证书订单的订单和订单详细信息页面,使其更容易识别这些订单在证书颁发流程中所处的阶段。
该新状态表示 DigiCert 已经验证订单,且证书正在等待用户/电子邮件收件人在以下其中一种支持的浏览器中生成它:IE 11、Safari、Firefox 68 和便携式 Firefox。
(在侧栏菜单中,单击证书 > 订单。然后,在“订单”页,单击代码签名证书或客户端证书订单的订单编号。)
我们更新了扩展验证 (EV) 代码签名 (CS) 和文档签名 (DS) 证书补发流程,使您无需自动吊销当前证书(原始证书或之前补发的证书)就能补发这些证书。
注意:如果您不需要当前证书(原始证书或之前补发的证书),则需联系支持人员,请求他们为您吊销。
从现在起,当您下次补发 EV CS 或 DS 证书时,您可以让之前补发的证书在当前有效期内(或您需要的期间内)一直保持有效。
DigiCert 将继续为代码签名证书支持 SHA1 签名。我们将在 2019 年 12 月 30 日移除最长有效期限制。
