SignTool.exe (nástroj pro podpis)
Sign Tool je nástroj příkazového řádku, který digitálně podepíše soubory, ověří podpisy v souborech a časová razítka souborů.
Tento nástroj je automaticky nainstalován se sadou Visual Studio. Ke spuštění nástroje použijte Visual Studio Developer Command Prompt nebo Visual Studio Developer PowerShell.
Poznámka:
Buildy sady Windows 10 SDK, Windows 10 HLK, Windows 10 WDK a Windows 10 ADK 20236 a novější vyžadují zadání algoritmu digest. Příkaz SignTool sign vyžaduje /fd algoritmus hash souboru a /td možnost algoritmu hash časového razítka , která se má zadat během podepisování a časového razítka. Pokud během podepisování není zadána chyba (kód chyby 1), bude vyvolán /fd chyba (kód chyby 1), pokud /td není zadána během časového razítka.
Na příkazovém řádku zadejte následující:
Syntaxe
signtool [command] [options] [file_name | ...]
Parametry
| Argument | Popis |
|---|---|
command |
Jeden ze čtyř příkazů (catdb, sign, Timestampnebo Verify) určující operaci, která se má provést se souborem. Popis jednotlivých příkazů naleznete v následující tabulce. |
options |
Volba, která upravuje příkaz. Kromě globálních /q možností a /v možností každý příkaz podporuje jedinečnou sadu možností. |
file_name |
Cesta k souboru, který chcete podepsat. |
Následující příkazy jsou podporovány nástrojem Sign Tool. Každý příkaz se používá s různou sadou možností, které jsou uvedeny v příslušných oddílech.
| Příkaz | Popis |
|---|---|
catdb |
Přidá nebo odebere soubor katalogu z databáze katalogů. Databáze katalogů slouží k automatickému vyhledávání souborů katalogu a jsou označeny identifikátorem GUID. Seznam možností podporovaných příkazem catdb naleznete v tématu možnosti příkazu catdb. |
sign |
Digitálně podepíše soubory. Digitální podpisy chrání soubory před neoprávněnými změnami a umožňují uživatelům ověřit podpis na základě podpisového certifikátu. Seznam možností podporovaných příkazem sign naleznete v části Možnosti příkazu podepsat. |
Timestamp |
Opatří soubory časovým razítkem. Seznam možností podporovaných příkazem TimeStamp naleznete v části Možnosti příkazu TimeStamp. |
Verify |
Ověří digitální podpis souborů stanovením, zda podpisový certifikát byl vydán důvěryhodnou autoritou, zda podpisový certifikát nebyl odvolán, a případně zda podpisový certifikát je platný pro konkrétní zásady. Seznam možností podporovaných příkazem Verify naleznete v tématu Ověření možností příkazu. |
Tyto možnosti platí pro všechny příkazy nástroje pro podepisování.
| Možnost Global | Popis |
|---|---|
| /q | Pokud se příkaz úspěšně spustí, nezobrazí se žádný výstup. Pokud se příkaz nezdaří, zobrazí se minimální výstup. |
| /v | Zobrazí podrobný výstup bez ohledu na to, zda bude příkaz úspěšně spuštěn, nebo se nezdaří, a zobrazí upozornění. |
| /debug | Zobrazí informace o ladění. |
Možnosti příkazu catdb
Následující tabulka uvádí možnosti, které lze použít s příkazem catdb .
| Možnost Catdb | Popis |
|---|---|
/d |
Určuje, že výchozí databáze katalogů je aktualizována. /d Pokud se nepoužívá ani /g možnost, nástroj Sign Tool aktualizuje systémovou součást a databázi ovladačů. |
/gIDENTIFIKÁTOR GUID |
Určuje, že se aktualizuje databáze katalogu identifikovaná globálně jedinečným identifikátorem GUID . |
/r |
Odebere zadané katalogy z databáze katalogů. Pokud není tato možnost zadána, nástroj Sign Tool přidá určené katalogy do databáze katalogů. |
/u |
Určuje, že přidaným souborům katalogu bude přiřazen jedinečný název. V případě potřeby jsou soubory katalogu přejmenovány, aby se předešlo konfliktům názvů s existujícími soubory katalogu. Pokud není tato možnost zadána, přepíše nástroj Sign Tool jakýkoli existující katalog, který má stejný název jako přidávaný katalog. |
Možnosti příkazu sign
Následující tabulka uvádí možnosti, které lze použít s příkazem sign .
| Možnost příkazu sign | Popis |
|---|---|
/a |
Automaticky vybere nejlepší podpisový certifikát. Nástroj Sign Tool vyhledá všechny platné certifikáty, které splňují všechny zadané podmínky, a vybere ten, který je platný pro co nejdelší dobu. Pokud tato možnost není k dispozici, očekává nástroj Sign Tool pouze jeden platný podpisový certifikát. |
/ac soubor |
Přidá do bloku podpisu další certifikát ze souboru . |
/as |
Připojí tento podpis. Pokud neexistuje žádný primární podpis, tento podpis se stane primárním podpisem. |
/c CertTemplateName |
Určuje název šablony certifikátu (rozšíření Microsoft) pro podpisový certifikát. |
/csp CSPName |
Určuje poskytovatele CSP (Cryptographic Service Provider), který obsahuje kontejner soukromého klíče. |
/d Desc |
Určuje popis podepsaného obsahu. |
/du Adresa URL |
Určuje adresu URL (Uniform Resource Locator) pro rozšířený popis podepsaného obsahu. |
/f SignCertFile |
Určuje podpisový certifikát v souboru. Pokud je soubor ve formátu PFX (Personal Information Exchange) a chráněný heslem, použijte /p možnost zadat heslo. Pokud soubor neobsahuje privátní klíče, použijte /csp možnosti a /kc zadejte název kontejneru CSP a privátního klíče. |
/fd |
Určuje soubor algoritmu digest pro vytváření podpisů souborů. Poznámka: Pokud se při podepisování nezadá přepínač, /fd vygeneruje se chyba. |
/fd certHash |
Zadáním řetězce certHash se ve výchozím nastavení použije algoritmus použitý v podpisovém certifikátu. Poznámka: Pokud se při podepisování nezadá přepínač, /fd vygeneruje se chyba. |
/i IssuerName |
Určuje název vystavitele podpisového certifikátu. Tato hodnota může být podřetězec celého jména vystavitele. |
/kc PrivKeyContainerName |
Určuje název kontejneru soukromého klíče. |
/n SubjectName |
Určuje název předmětu podpisového certifikátu. Tato hodnota může být podřetězec celého názvu subjektu. |
/nph |
V případě podpory potlačuje hodnoty hash stránek pro spustitelné soubory. Výchozí hodnota je určena proměnnou prostředí SIGNTOOL_PAGE_HASHES a verzí wintrust.dll. Tato možnost je ignorována pro soubory, které nejsou typu PE. |
/p Heslo |
Určuje heslo, které má být použito při otevírání souboru PFX. (Pomocí /f možnosti zadejte soubor PFX.) |
/p7Cesta |
Určuje, že soubor PKCS (Public Key Cryptography Standards) #7 je vytvořen pro každý zadaný soubor obsahu. Soubory PKCS #7 mají název path\filename.p7. |
/p7ceHodnota |
Určuje volby pro podepsaný obsah PKCS #7. Pokud chcete vložit podepsaný obsah do souboru PKCS #7 nebo "DetachedSignedData", nastavte hodnotu "Embedded", aby se vytvořila podepsaná datová část odpojeného souboru PKCS #7. Pokud se /p7ce tato možnost nepoužívá, podepsaný obsah se ve výchozím nastavení vloží. |
/p7co<OID> |
Určuje identifikátor objektu (OID), který identifikuje podepsaný obsah PKCS #7. |
/ph |
V případě podpory generuje hodnoty hash stránek pro spustitelné soubory. |
/r RootSubjectName |
Určuje název předmětu kořenového certifikátu, jehož článkem musí podpisový certifikát být. Tato hodnota může být podřetězec celého názvu předmětu kořenového certifikátu. |
/s StoreName |
Určuje úložiště k otevření při hledání certifikátu. Pokud tato možnost není zadána, My otevře se úložiště. |
/sha1 Hašé |
Určuje algoritmus hash SHA1 podpisového certifikátu. Algoritmus hash SHA1 je obvykle použit, když více certifikátů splňuje kritéria stanovená ve zbývajících přepínačích. |
/sm |
Určuje použití úložiště počítače namísto úložiště uživatele. |
/t Adresa URL |
Určuje adresu URL časového razítka serveru. Pokud tato možnost (nebo /tr) není k dispozici, podepsaný soubor nebude časový razítko. Pokud se opatření časovým razítkem nezdaří, vygeneruje se upozornění. Tuto možnost nelze použít s /tr touto možností. |
/td Alg |
Používá se s /tr možností vyžádat algoritmus digest používaný serverem časového razítka RFC 3161. Poznámka: Pokud není k dispozici časové razítko, vygeneruje /td se chyba. |
/tr Adresa URL |
Určuje adresu URL časového razítka serveru RFC 3161. Pokud tato možnost (nebo /t) není k dispozici, podepsaný soubor nebude časový razítko. Pokud se opatření časovým razítkem nezdaří, vygeneruje se upozornění. Tuto možnost nelze použít s /t touto možností. |
/u Zvyk |
Určuje použití rozšířeného klíče (EKU), který musí být součástí podpisového certifikátu. Hodnotu použití lze zadat pomocí OID nebo řetězce. Výchozí použití je „Podepisování kódu“ (1.3.6.1.5.5.7.3.3). |
/uw |
Určuje použití „Ověřování součástí systému Windows“ (1.3.6.1.4.1.311.10.3.6). |
Příklady použití najdete v tématu Použití nástroje SignTool k podepsání souboru.
Možnosti příkazu TimeStamp
Následující tabulka uvádí možnosti, které lze použít s příkazem TimeStamp .
| Možnost TimeStamp | Popis |
|---|---|
/p7 |
Opatří soubory PKCS #7 časovým razítkem. |
/t Adresa URL |
Určuje adresu URL časového razítka serveru. Soubor, který má být opatřen časovým razítkem, musí být nejprve podepsán. Buď je požadována /t možnost, nebo je tato možnost povinná /tr . |
/td Alg |
Používá se s /tr možností vyžádat algoritmus digest používaný serverem časového razítka RFC 3161. Poznámka: Pokud není k dispozici časové razítko, vygeneruje /td se chyba. |
/tpindex |
Časové razítko podpisu v indexu. |
/tr Adresa URL |
Určuje adresu URL časového razítka serveru RFC 3161. Soubor, který má být opatřen časovým razítkem, musí být nejprve podepsán. Buď je požadována /tr možnost, nebo je tato možnost povinná /t . |
Příklad použití najdete v tématu Přidání časových razítek do dříve podepsaných souborů.
Možnosti příkazu Verify
| Možnost Verify | Popis |
|---|---|
/a |
Určuje, že všechny metody lze použít k ověření souboru. Nejprve se prohledají databáze katalogu a určí se, zda je soubor v katalogu podepsán. Pokud soubor není podepsán v žádném katalogu, nástroj Sign Tool se pokusí ověřit vložený podpis souboru. Tato možnost je doporučena při ověřování souborů, které mohou nebo nemusí být podepsány v katalogu. Mezi tyto soubory patří soubory systému Windows nebo ovladače. |
/ad |
Vyhledá katalog pomocí výchozí databáze katalogu. |
/agCatDBGUID |
Vyhledá katalog v databázi katalogu, která je identifikovaná identifikátorem CatDBGUID. |
/all |
Ověří všechny podpisy v souboru, který obsahuje více podpisů. |
/as |
Vyhledá v katalogu pomocí databáze katalogů systémovou komponentu (ovladač). |
/cCatFile |
Určuje soubor katalogu podle názvu. |
/d |
Určuje, že má nástroj Sign Tool vytisknout popis a adresu URL popisu. |
/ds Index |
Ověřuje podpis na určené pozici. |
/hash (SHA1|SHA256) |
Určuje volitelný hashovací algoritmus k použití pro hledání souboru v katalogu. |
/kp |
Určuje, že by mělo být provedeno ověření pomocí zásady podepisování ovladačů v režimu jádra. |
/ms |
Používá několik sémantik pro ověřování. Toto je výchozí chování volání WinVerifyTrust ve Windows 8 a vyšší. |
/oVerze |
Ověřuje soubor podle verze operačního systému. Verze má následující formulář: PlatformID:VerMajor.VerMinor.BuildNumber. PlatformID představuje základní hodnotu člena výčtu PlatformID . Důležité: Doporučuje se použití /o přepínače. Pokud /o není zadaný, SignTool.exe může vrátit neočekávané výsledky. Pokud například přepínač nezahrnete /o , katalogy systému, které se správně ověřují ve starším operačním systému, nemusí být v novějším operačním systému správně ověřeny. |
/p7 |
Ověří soubory PKCS #7. Žádné existující zásady nejsou použity pro ověřování PKCS #7. Podpis je zkontrolován a řetězec je sestaven pro podpisový certifikát. |
/pa |
Určuje, že mají být použity výchozí zásady ověření pomocí technologie Authenticode. Pokud není tato /pa možnost zadána, nástroj Sign Tool používá zásady ověření ovladače systému Windows. Tuto možnost nelze použít s možnostmi catdb . |
/pgPolicyGUID |
Určuje zásady ověření podle identifikátoru GUID. Identifikátor PolicyGUID odpovídá ID akce ověřovací zásady. Tuto možnost nelze použít s možnostmi catdb . |
/ph |
Určuje, že nástroj Sign Tool má tisknout a ověřit hash hodnoty stránky. |
/rRootSubjectName |
Určuje název předmětu kořenového certifikátu, jehož článkem musí podpisový certifikát být. Tato hodnota může být podřetězec celého názvu předmětu kořenového certifikátu. |
/tw |
Určuje, že by mělo být vygenerováno upozornění, pokud podpis nemá časové razítko. |
Příklady použití najdete v tématu Použití nástroje SignTool k ověření podpisu souboru.
Návratová hodnota
Nástroj Sign Tool vrátí jeden z následujících ukončovacích kódů při svém ukončení.
| Ukončovací kód | Popis |
|---|---|
| 0 | Spuštění proběhlo úspěšně. |
| 0 | Spuštění se nezdařilo. |
| 2 | Spuštění bylo dokončeno s varováními. |
Příklady
Následující příkaz přidá soubor katalogu MyCatalogFileName.cat do systémové komponenty a databáze ovladačů. Tato /u možnost vygeneruje jedinečný název v případě potřeby, aby se zabránilo nahrazení existujícího souboru katalogu s názvem MyCatalogFileName.cat.
signtool catdb /v /u MyCatalogFileName.cat
Následující příkaz podepíše soubor automaticky pomocí nejvhodnějšího certifikátu.
signtool sign /a /fd SHA256 MyFile.exe
Následující příkaz digitálně podepisuje soubor pomocí certifikátu uloženého v souboru PFX chráněném heslem.
signtool sign /f MyCert.pfx /p MyPassword /fd SHA256 MyFile.exe
Následující příkaz digitálně podepíše soubor a opatří ho časovým razítkem. Certifikát použitý k podepsání souboru je uložen v souboru PFX.
signtool sign /f MyCert.pfx /t http://timestamp.digicert.com /fd SHA256 MyFile.exe
Následující příkaz podepíše soubor pomocí certifikátu umístěného My v úložišti s názvem My Company Certificatesubjektu .
signtool sign /n "My Company Certificate" /fd SHA256 MyFile.exe
Následující příkaz podepíše ovládací prvek ActiveX a zobrazí informace, které se zobrazí v prohlížeči, když se uživateli zobrazí výzva k instalaci ovládacího prvku.
Signtool sign /f MyCert.pfx /d: "MyControl" /du http://www.example.com/MyControl/info.html /fd SHA256 MyControl.exe
Následující příkaz opatří digitálně podepsaný soubor časovým razítkem.
signtool timestamp /t http://timestamp.digicert.com MyFile.exe
Následující příkaz označí soubor časovým razítkem pomocí serveru časového razítka RFC 3161.
signtool timestamp /tr http://timestamp.digicert.com /td SHA256 MyFile.exe
Následující příkaz ověří, že soubor byl podepsán.
signtool verify MyFile.exe
Následující příkaz ověří systémový soubor, který může být podepsán v katalogu.
signtool verify /a SystemFile.dll
Následující příkaz ověří systémový soubor, který je přihlášený v katalogu s názvem MyCatalog.cat.
signtool verify /c MyCatalog.cat SystemFile.dll
Viz také
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro