У нас есть драйвер, который прошел процесс WHQL. Но поскольку в политике подписи режима ядра Microsoft ([https://docs.microsoft.com/en-us/windows-hardware/drivers/install/kernel-mode-code-signing-requirements--windows-vista-and-later-][1]) указано, что каждый драйвер запуска при загрузке должен встраивать подпись для загрузки во время загрузки, мы подписали его с помощью SPC из стороннего CA, прежде чем отдавать его для WHQL). После процесса WHQL теперь мы выполняем перекрестную подпись с использованием перекрестных сертификатов, предоставленных Microsoft. Но я не вижу видимых изменений в иерархии CA в деталях сертификации драйвера после перекрестной подписи. нужно указать корневой CA обратно в Microsoft?
Более того, я полагаю, что если WHQL-драйвер будет подписан, подпись будет встроена в файл каталога драйвера (это единственное, что требуется Windows для загрузки драйвера во время загрузки). Тогда зачем нам крестить знак?