GlobalSign EV 证书 + WHQL 驱动官方签名全流程（最新微软规范，2026 现行）

整体链路：GlobalSign 申请 EV 代码签名证书 → 微软硬件开发者账号注册 & 企业核验 → 驱动打包 + EV 预签名 → HLK 全项测试 → .hlkx 报告 EV 签名 → 微软 Partner Center 提交 WHQL 审核 → 审核通过下载微软 WHQL 官方签名 (cat)

硬性规则：只有 GlobalSign EV 代码签名（硬件 USB Token）可用于 WHQL，OV 普通代码签名无法提交 WHQL

第一阶段：向 GlobalSign 申请 WHQL 专用 EV 代码签名证书（WHQL 准入必备）
1.1 准备申请材料（GlobalSign EV 核验资料）
必要准备：企业固话（工商公示座机，GlobalSign 会电话核验）或者工商公示邮箱（GlobalSign可通过此邮箱认证）
可选补充：邓白氏编码 D-U-N-S（微软账号注册优选，加速微软审核）、地址租赁合同 / 水电单（辅助企业真实性核验）

1.2 GlobalSign 下单 & 提交申请
渠道： GlobalSign 授权服务商ssldun，选择EV Extended Validation 代码签名证书（含硬件 USB Token）（1 年期，私钥固化在 FIPS140-2 加密 UKey、不可导出）
提交企业信息 + 签署电子协议
GlobalSign 多层核验（1～2 工作日）
证书签发 & 硬件 UKey 邮寄审核通过→GlobalSign 制作证书写入加密 USB Token，顺丰寄达国内（1～3 天）；
收到 UKey 后安装 GlobalSign 驱动、设置 UKey 访问 PIN 码，证书就绪

1.3 UKey 环境部署 & SignTool 配置
安装 GlobalSign Cryptographic Service Provider (CSP) 驱动，Windows 证书管理器识别 UKey 内 EV 证书
安装Windows SDK/WDK（含 SignTool.exe 签名工具），后续签名依赖此工具

第二阶段：注册微软硬件开发者中心（Partner Center+Azure AD，EV 证书核验企业主体）
微软要求：企业主体名称必须和 GlobalSign EV 证书企业全称 100% 一致，一字不差，否则账号无法通过企业认证
2.1 注册 Azure AD+Microsoft Partner Center（MPC 硬件门户）
用企业邮箱注册 Azure AD 租户（企业版），创建企业管理员账号
进入微软【Windows 硬件开发者中心】(Microsoft Partner Center → Windows Hardware)，注册硬件开发者组织账户
下载微软官方校验文件SignableFile.bin，使用 GlobalSign EV 证书 + SignTool SHA256 签名该 bin 文件，上传至微软完成企业法律实体校验（WHQL 账户开通关键）
# 微软账户核验签名示例命令signtool sign /csp "GlobalSign CSP名称" /k UKeyPIN /fd SHA256 /tr http://timestamp.globalsign.com/tsa/rfc3161 SignableFile.bin
微软审核企业信息（1～3 工作日），开通 WHQL 提交权限，签署微软硬件许可电子协议；可选缴纳微软开发者年费 $99（部分品类免年费）

第三阶段：驱动源码打包 + GlobalSign EV 预签名（内核驱动.sys/cat/cab 前置签名）
3.1 整理驱动包文件
必备文件：.sys(内核驱动)、.inf(安装信息)、使用 WDK 自带MakeCat.exe生成驱动目录文件.cat，全部文件打包为.cab压缩包（微软 WHQL 标准提交格式）
3.2 GlobalSign EV 证书预签名（强制 SHA256+RFC3161 时间戳，GlobalSign 官方时间戳地址）
# 1.签名sys驱动文件signtool sign /csp "GlobalSign EV CSP" /k "UKey密码" /fd SHA256 /tr https://timestamp.globalsign.com/tsa/rfc3161 driver.sys
# 2.签名cat目录文件signtool sign /csp "GlobalSign EV CSP" /k "UKey密码" /fd SHA256 /tr https://timestamp.globalsign.com/tsa/rfc3161 driver.cat
# 3.签名cab提交包signtool sign /csp "GlobalSign EV CSP" /k "UKey密码" /fd SHA256 /tr https://timestamp.globalsign.com/tsa/rfc3161 driver.cab
重点：必须加 RFC3161 时间戳，EV 证书过期后驱动签名持续有效；无时间戳 WHQL 直接驳回

第四阶段：HLK 硬件兼容性全项测试（WHQL 核心环节，不通过无法拿微软签名）
4.1 搭建 HLK 测试环境（禁止虚拟机，必须实体物理机）
根据目标系统版本安装对应HLK 套件（Win10/Win11 用 HLK；Win7/8 用 HCK）：HLK Studio (控制器)+HLK Client (被测设备装机)，控制器与被测机同局域网
被测硬件接入测试机，安装待测试已 EV 预签名驱动
4.2 HLK 项目创建 & 全用例测试
HLK Studio 新建项目，选定设备分类（USB/PCI/ 串口等硬件类型），自动匹配微软强制测试项（PNP 热插拔、电源休眠、稳定性、内存泄漏、安全合规等）
全用例 100% 通过；单项失败→修改驱动代码→重新编译、重新 EV 签名、复测，直至全部 Pass
测试完成 HLK 打包生成 **.hlkx测试报告文件 **
4.3 EV 签名.hlkx 测试报告（提交微软必填）
继续使用 GlobalSign EV+SignTool + 时间戳签名 hlkx 文件，微软只接收已 EV 签名的测试包：
signtool sign /csp "GlobalSign EV CSP" /k UKeyPIN /fd SHA256 /tr https://timestamp.globalsign.com/tsa/rfc3161 testreport.hlkx
第五阶段：微软 Partner Center 提交 WHQL 审核、获取微软官方 WHQL 签名
5.1 门户提交资料
登录微软硬件仪表板→新建Hardware submission，选择驱动品类
上传：①EV 预签名.cab驱动包 ②EV 签名.hlkx测试报告；填写设备型号、厂商信息、OS 适配版本
按需缴纳 WHQL 单次审核费（常规单设备 $250 左右，微软实时计价）
5.2 微软双层审核（自动化 + 人工安全审查）
自动校验：校验 EV 签名有效性、CAT/INF 格式、hlkx 测试完整性、签名链（GlobalSign CA 信任链）
人工安全审查：2023 起新增Driver Security Compliance 安全合规审核，高危硬件 (网卡 / 显卡 / 存储) 审核周期延长 3～7 工作日；普通外设 3～5 工作日出结果
5.3 审核通过→下载微软 WHQL 官方签名
审核通过后，微软后台自动重新签发带 Microsoft 官方 WHQL 签名的新版.cat 文件（签发方：Microsoft Windows Hardware Compatibility Publisher）
下载替换原驱动包里的 cat，整套驱动即为完整 WHQL 签名驱动：可无警告安装、上架 Windows Update 分发、使用 Designed for Windows 官方标识

第六阶段：WHQL 签名落地使用 & 归档
用 WHQL 新版 cat 替换安装包内原有 cat，重新打包安装程序；Win10/11 开启强制驱动签名校验也可正常安装
归档：GlobalSign EV UKey 妥善保管、EV 证书、hlkx 报告、微软 WHQL 回执存档；后续同型号驱动改版复用 EV 证书重复走 HLK+WHQL 提报
关键周期 & 避坑总结
周期参考：GlobalSign EV：1～5 天；微软账号核验：1～3 天；HLK 测试：1～5 天；微软 WHQL 审核：3～10 工作日，全流程最快 7～15 天

高频驳回点
GlobalSign EV 企业名称与微软账号主体不一致
签名未 SHA256、缺少 RFC3161 时间戳
HLK 存在测试用例失败、虚拟机跑 HLK 测试微软不认
INF 语法错误、CAT 未随 INF 变更重新生成

上一篇 ：Certum QES合格电子签办理流程

下一篇无