无需禁用驱动签名，给驱动添加签名的方式

引言

        随着 Windows 操作系统安全机制的不断升级，微软在 Windows 10 及后续的 Windows 11 中进一步强化了内核级安全策略，尤其是对驱动程序的数字签名验证机制（Driver Signature Enforcement, DSE）提出了更高要求。这一机制旨在防止未经授权或潜在恶意的驱动程序加载，从而提升系统整体安全性。

        然而，对于部分企业用户、开发人员或特定硬件厂商而言，这一安全策略在实际应用中也带来了新的挑战——尤其是当需要部署未签名驱动、测试驱动或第三方定制驱动时，传统的“禁用驱动签名强制”方式（如通过高级启动选项）在许多现代设备上已不可行，尤其是在启用了 Secure Boot 的 UEFI 系统中。

        本文将系统性地介绍一种合规、安全且可持续的解决方案：通过为驱动程序申请并配置有效的数字签名，实现其在 Windows 10/11 系统中的顺利加载与运行，既满足系统安全要求，又保障了技术灵活性。

1、生成驱动文件

        （1）双击运行inf-wizard.exe。

        （2）点击Next>进行下一步。

        （3）选择0x0483的VID ID设备，点击Next>进入下一步。

                （4）选择Next>进入下一步。

        （5）选择一个目录，保存驱动文件。

        （6）选择Done结束驱动生成。

2、给驱动添加签名

        1、生成konatacodecer.pfx文件

$cert = New-SelfSignedCertificate -DnsName konata.tech -Type CodeSigning -CertStoreLocation Cert:\CurrentUser\My
$CertPassword = ConvertTo-SecureString -String mypass -Force -AsPlainText
Export-PfxCertificate -Cert "cert:\CurrentUser\My\$($cert.Thumbprint)" -FilePath "C:\konatacodecer.pfx" -Password $CertPassword

        使用Windows PowerShell生成konatacodecer.pfx文件，用管理员用户打开Windows PowerShell，依次运行上述指令，运行完成后在C盘生成konatacodecer.pfx文件。

        2、安装konatacodecer.pfx文件

        右键，安装konatacodecer.pfx文件，选择”本地计算机“-->”下一步“-->”下一步“，输入密码：mypass，下一步，选择”将所有的证书都放入下列存储“，点击”浏览“，选择”受信任的根证书颁发机构“，点击”确定“，点击”下一步“，点击”完成“，到此证书导入完成。

        3、添加驱动签名。

        打开wosigncode.exe软件，点击“CAB/CAT”，选择添加驱动文件，选择好后点击“创建CAT”开始创建，选择创建的目录当前驱动文件inf同目录下。

        跳转到“代码签名”页面，点击“PFX证书”，选择生成到C盘的konatacodecer.pfx文件，输入密码：mypass。点击“签名”按钮。

3、驱动安装

        进入到驱动文件目录，右击驱动文件.inf，点击安装选项，在没有禁用驱动签名的情况下，可正常安装驱动签名。

        选择始终安装此驱动程序软件。

驱动签名工具及驱动生成工具