为什么申请驱动签名证书必须用EV代码签名证书
一、直接结论

因为微软从Windows 10（版本1607）起，强制要求所有内核模式驱动必须使用EV代码签名证书签名，并通过WHQL认证流程。这不是可选项，而是微软为保障系统内核安全设定的强制准入门槛。普通OV或DV代码签名证书，根本没有资格进入驱动签名流程。
二、核心原因逐层拆解

第一，内核驱动的权限等级决定了必须用最强身份验证。

Windows系统分用户模式（Ring 3）和内核模式（Ring 0）。普通应用程序跑在Ring 3，出了问题最多崩溃。但驱动程序跑在Ring 0，拥有最高系统权限，可以直接读写内存、拦截系统调用、控制硬件。一旦被恶意代码利用，等于把整个系统的钥匙交出去了。

正因为权限极高，微软对驱动签名者的身份验证要求也是所有证书类型中最严格的。EV证书要求CA机构对企业进行工商注册核实、物理地址核实、电话核实、申请人身份核实，所有信息可追溯到具体企业和具体人。而OV证书只验证组织名称，DV证书只验证域名所有权，这两种的身份验证强度根本不够格。

第二，微软WHQL认证流程的前置条件就是EV证书。

驱动要在Windows上无警告加载，完整流程是这样的：

先用EV代码签名证书对驱动签名，再提交微软WHQL（Windows硬件质量实验室）进行兼容性测试，通过后获得微软的Attestation签名（也叫交叉签名），最后驱动才能在所有Windows版本上无警告运行。

EV代码签名证书是这个链条的第一环，没有它，后面的WHQL提交根本不会被受理。微软明确规定：提交WHQL的签名必须来自有效的EV代码签名证书。

第三，防止恶意驱动泛滥。

如果允许用OV或DV证书签名驱动，攻击者只需要花几百块买个DV证书，就能给恶意驱动签名，然后绕过Windows的驱动签名检查，直接加载到内核。EV证书的申请成本高（通常数千到上万元）、审核周期长（数天到数周）、身份可追溯，大幅提高了攻击者的门槛。
三、历史演变：微软是怎么一步步收紧的

Windows Vista 64位（2007年）：首次强制驱动签名，但当时普通代码签名证书（OV/DV）就可以用。

Windows 8（2012年）：开始推荐使用EV证书，但未强制。

Windows 10 版本1607（2016年）：转折点。微软正式强制要求内核驱动必须使用EV代码签名证书，且必须通过WHQL认证。不符合要求的驱动，64位系统直接拦截加载，弹出”无法验证签名”警告。

Windows 11（2021年至今）：进一步收紧。微软引入了基于虚拟化的安全（VBS）和HVCI（Hypervisor-Protected Code Integrity），即使有签名，不符合微软安全策略的驱动也会被直接拦截。EV证书加WHQL成为唯一可靠的通过路径。
四、一句话总结

EV代码签名证书不是”更好的选择”，而是唯一被微软接受的驱动签名起点。原因很简单：内核驱动权限太高，微软只信任经过最严格身份验证的签名者，而EV证书是目前唯一能提供这种验证强度的代码签名证书类型。没有EV证书，驱动签名这条路从第一步就走不通。

如果你正在准备驱动签名，下一步通常是选CA机构、走WHQL流程。GDCA支持EV代码签名证书签发，需要的话可以继续聊具体流程。