Aqui está uma excelente resposta do SO que abrange a criação de uma CA autoassinada e, em seguida, assinando executáveis com os certificados obtidos:Como crio um certificado autoassinado para assinatura de código no Windows?.

Eu li muitas discussões on-line sobre como a assinatura do driver funciona e a resposta parece quase inequívoca: você não pode carregar drivers não assinados ou autoassinados sem ter o modo de teste ativado. No entanto, a resposta que eu vinculei e especialmente um comentário de Roger Lipscombe parece fornecer uma visão contraditória:

Se você quiser usá-lo para assinar drivers, precisará importar o certificado CA para o armazenamento da máquina. Meu exemplo importa para o repositório de usuários, o que é bom para a maioria dos softwares, para fins de teste / internos.

Para mim, parece que eu seria capaz de instalar drivers com certificados autoassinados (emitidos por uma CA autoassinada) desde que o certificado da CA fosse importado para a loja de máquinas. Não precisarei fazer outras alterações no sistema (desativando o modo de teste pressionando F8 no menu de inicialização, mexendo nos sinalizadores de configuração de inicialização, como TESTSIGNING ou NOINTEGRITYCHECKS).

Estou correcto? Quais são os obstáculos, se houver, que esse método não é usado mais amplamente quando as pessoas precisam carregar drivers que não possuem assinaturas digitais adequadas (como drivers de impressora antigos etc.). Em vez disso, as pessoas confiam na inicialização no modo de teste ou em um software de terceiros (DSEO) que mexe com os arquivos do sistema para executar esses drivers.

Quais são as desvantagens deste método? O processo descrito na pergunta SO acima precisa de privilégios de administrador, mas a instalação de drivers também precisa deles. Confiar em uma CA autoassinada pode ser um risco à segurança - mas desabilitar todas as verificações de assinatura não representa um risco à segurança ainda maior?