这是个很常见的内核驱动签名问题，我来帮你拆解可能的原因和背后的逻辑：

一、为什么明明有数字签名，系统还是提示未签名？ #

可能的核心原因有以下几点：

• 签名证书不符合内核驱动的严格要求
  Windows 10 64位从1607版本（周年更新）开始，对内核模式驱动的签名门槛大幅提升：普通的OV/OV代码签名证书已经无法在非测试模式下加载未经过WHQL认证的驱动，必须使用EV代码签名证书（Extended Validation）。如果你的公司Web应用用的是普通证书，哪怕签名流程走完，系统也会直接拒绝认可这个签名。

• 签名流程未针对内核驱动做特殊处理
  内核驱动的签名和普通EXE/DLL完全不同：

  • 必须使用signtool的/kp参数（专门用于内核模式签名）来签署，而普通用户模式签名的流程不适用。如果公司的Web应用只是按普通程序的方式签名，没有配置内核驱动专属的签名参数，签名后的.sys文件依然不被系统认可。
  • 部分新Windows版本还要求驱动经过微软交叉签名（用微软的交叉证书二次签名），如果你的签名流程漏掉这一步，也会导致签名失效。

• 签错了目标文件
  很多人会不小心签名驱动的安装包（比如Setup.exe），但系统加载驱动时只会检查核心的.sys文件签名。如果.sys本身没被正确签名，哪怕安装包有签名，依然会触发“未签名”提示。

• 签名后文件被修改
  签名是和文件哈希绑定的，如果签名完成后你对.sys做了任何修改（比如重新打包、压缩、甚至改文件名），签名都会直接失效，系统会判定文件未签名。

二、为什么测试模式未开启就不能用？ #

Windows的正常模式下，内核驱动签名策略是强制启用的——这是微软为了系统安全设置的防线，防止恶意内核级程序随意加载。测试模式则是给开发者开的“绿色通道”，开启后会放宽签名验证，允许加载用测试证书（比如自签名）签署的驱动。在正常模式下，只有完全符合微软要求的签名（EV证书+正确的内核签名流程）的驱动才能通过验证。

三、排查建议 #

• 用命令行工具检查签名有效性：打开Developer Command Prompt，运行 signtool verify /v /kp yourdriver.sys，查看输出里的错误提示，能直接定位问题。
• 确认公司的代码签名Web应用是否支持内核驱动签名，以及使用的是否是EV证书。
• 检查你签名的是不是.sys核心文件，而不是安装包或其他附属文件。

内容的提问来源于stack exchange，提问作者Oleg Sydorov