Strong Name-Tool (Sn.exe)
Aktualisiert: November 2007
Das Strong Name-Tool (Sn.exe) erleichtert das Signieren von Assemblys mit starken Namen. Sn.exe stellt Optionen zum Verwalten von Schlüsseln, Erzeugen und Überprüfen von Signaturen bereit.
sn [-quiet][option [parameter(s)]]
Parameter
Option |
Beschreibung |
---|---|
-c [csp] |
Legt den für das Signieren mit starken Namen zu verwendenden kryptografischen Standarddienstanbieter (Cryptographic Service Provider, CSP) fest. Diese Einstellung gilt für den gesamten Computer. Wenn Sie keinen CSP-Namen angeben, löscht Sn.exe die aktuelle Einstellung. |
-d container |
Löscht den angegebenen Schlüsselcontainer aus dem CSP für starke Namen. |
-D Assembly1 Assembly2 |
Überprüft, ob sich zwei Assemblys nur in der Signatur unterscheiden. Diese Prüfung wird häufig verwendet, nachdem eine Assembly mit einem anderen Schlüsselpaar neu signiert wurde. |
-e Assembly-Ausgabedatei |
Extrahiert den öffentlichen Schlüssel aus Assembly und speichert ihn in Ausgabedatei. |
-h |
Zeigt die Befehlssyntax und Optionen für das Tool an. |
-i Eingabedatei Container |
Installiert das Schlüsselpaar aus infile in dem angegebenen Schlüsselcontainer. Der Schlüsselcontainer befindet sich im CSP für starke Namen. |
-k [Schlüsselgröße] Ausgabedatei |
Generiert einen neuen RSACryptoServiceProvider-Schlüssel mit der angegebenen Größe und schreibt ihn in die angegebene Datei. Sowohl ein öffentlicher als auch ein privater Schlüssel wird in die Datei geschrieben. Wenn Sie keine Schlüsselgröße angeben, wird standardmäßig ein 1.024-Bit-Schlüssel generiert, sofern Microsoft Enhanced Cryptographic Provider installiert ist; andernfalls wird ein 512-Bit-Schlüssel generiert. Bei Installation von Microsoft Enhanced Cryptographic Provider unterstützt der Parameter keysize Schlüssel mit einer Länge von 384 bis 16.384 Bits in 8-Bit-Schritten. Bei Installation von Microsoft Base Cryptographic Provider unterstützt der Parameter Schlüssel mit einer Länge von 384 bis 512 Bits in 8-Bit-Schritten. |
-m [y|n] |
Legt fest, ob Schlüsselcontainer computerspezifisch oder benutzerspezifisch sind. Wenn Sie y angeben, sind die Schlüsselcontainer computerspezifisch. Wenn Sie n angeben, sind die Schlüsselcontainer benutzerspezifisch. Wenn weder y noch n angegeben wird, zeigt diese Option die aktuelle Einstellung an. |
-o Eingabedatei [+-] |
Extrahiert den öffentlichen Schlüssel aus Eingabedatei und speichert ihn in einer CSV-Datei. Die einzelnen Bytes des öffentlichen Schlüssels werden durch Komma getrennt. Dieses Format eignet sich zum Hartcodieren von Schlüsselverweisen als initialisierte Arrays im Quellcode. Wenn Sie keine Ausgabedatei angeben, wird die Ausgabe dieser Option in der Zwischenablage gespeichert.
Hinweis:
Diese Option überprüft nicht, ob die Eingabe nur ein öffentlicher Schlüssel ist. Wenn infile ein Schlüsselpaar mit einem privaten Schlüssel enthält, wird der private Schlüssel auch extrahiert.
|
-p Eingabedatei Ausgabedatei |
Extrahiert den öffentlichen Schlüssel aus dem Schlüsselpaar in Eingabedatei und speichert ihn in Ausgabedatei. Dieser öffentlichen Schlüssel kann zum verzögerten Signieren einer Assembly unter Verwendung der Optionen /delaysign+ und /keyfile des Assembly Linker-Tools (Al.exe) verwendet werden. Beim verzögerten Signieren einer Assembly wird während der Kompilierung nur der öffentliche Schlüssel festgelegt und Speicherplatz in der Datei reserviert, damit die Signatur hinzugefügt werden kann, sobald der private Schlüssel bekannt ist. |
-pc Container Ausgabedatei |
Extrahiert den öffentlichen Schlüssel aus dem Schlüsselpaar in Container und speichert ihn in Ausgabedatei. |
-Pb [y|n] |
Legt fest, ob die Bypassrichtlinie für starke Namen durchgesetzt wird. Wenn Sie y festlegen, werden starke Namen für voll vertrauenswürdige Assemblys beim Laden in ein voll vertrauenswürdiges AppDomain nicht geprüft. Wenn Sie n festlegen, werden starke Namen auf Korrektheit geprüft, jedoch nicht auf bestimmte starke Namen. StrongNameIdentityPermission hat keine Auswirkung auf voll vertrauenswürdige Assemblys. Sie müssen eine eigene Überprüfung der Übereinstimmung auf starke Namen durchführen. Wenn weder y noch n festgelegt ist, zeigt diese Option die aktuelle Einstellung. Die Standardeinstellung ist y.
Hinweis:
Auf 64-Bit-Computern müssen diese Parameter sowohl in der 32-Bit- als auch in der 64-Bit-Instanz von Sn.exe festgelegt werden.
|
-q[uiet] |
Gibt den stillen Modus an, in dem die Anzeige von Erfolgsmeldungen unterdrückt wird. |
-R[a] Assembly Eingabedatei |
Signiert eine bereits signierte oder eine verzögert signierte Assembly mit dem Schlüsselpaar in der Eingabedatei neu. Wenn -Ra verwendet wird, werden Hashes für alle Dateien in der Assembly neu berechnet. |
-Rc[a] Assembly Container |
Signiert eine bereits signierte oder eine verzögert signierte Assembly mit dem Schlüsselpaar in Container neu. Wenn -Rca verwendet wird, werden Hashes für alle Dateien in der Assembly neu berechnet. |
-Rh Assembly |
Berechnet Hashes für alle Dateien in der Assembly neu. |
-t[p] Eingabedatei |
Zeigt das in Eingabedatei gespeicherte Token für den öffentlichen Schlüssel an. Eingabedatei muss einen öffentlichen Schlüssel enthalten, der zuvor von einer Schlüsselpaardatei mithilfe von -p generiert wurde. Verwenden Sie nicht die Option -t[p], um ein Token direkt aus einer Schlüsselpaardatei zu extrahieren. Sn.exe berechnet das Token mithilfe einer Hashfunktion aus dem öffentlichen Schlüssel. Um Speicherplatz zu sparen, speichert die Common Language Runtime Token für öffentliche Schlüssel im Manifest als Teil eines Verweises auf eine weitere Assembly, wenn eine Abhängigkeit zu einer Assembly mit starkem Namen aufgezeichnet wird. Die Option -tp zeigt zusätzlich zum Token den öffentlichen Schlüssel an. Beachten Sie, dass bei Verwendung dieser Option die Assemblysignatur nicht überprüft wird, und sie daher nicht für Entscheidungen über Vertrauensstellungen verwendet werden sollte. Durch diese Option werden nur die unformatierten Tokendaten des öffentlichen Schlüssels angezeigt. |
-T[p] Assembly |
Zeigt das Token des öffentlichen Schlüssels für Assembly. Die Assembly muss dem Namen einer Datei entsprechen, die ein Assemblymanifest enthält. Sn.exe berechnet das Token mithilfe einer Hashfunktion aus dem öffentlichen Schlüssel. Um Speicherplatz zu sparen, speichert die Laufzeit Token für öffentliche Schlüssel im Manifest als Teil eines Verweises auf eine weitere Assembly, wenn eine Abhängigkeit zu einer Assembly mit starkem Namen aufgezeichnet wird. Die Option -Tp zeigt zusätzlich zum Token den öffentlichen Schlüssel an. Beachten Sie, dass bei Verwendung dieser Option die Assemblysignatur nicht überprüft wird, und sie daher nicht für Entscheidungen über Vertrauensstellungen verwendet werden sollte. Durch diese Option werden nur die unformatierten Tokendaten des öffentlichen Schlüssels angezeigt. |
-TSassembly infile |
Signiert die vollständig oder teilweise signierte assembly mit dem Schlüsselpaar in der infile zu Testzwecken. |
-TSc assembly container |
Signiert die vollständig oder teilweise signierte assembly mit dem Schlüsselpaar im Schlüsselcontainer container zu Testzwecken. |
-v Assembly |
Überprüft den starken Namen in Assembly, wobei Assembly der Name einer Datei ist, die ein Assemblymanifest enthält. |
-vf Assembly |
Überprüft den starken Namen in Assembly . Im Unterschied zur Option -v wird die Überprüfung bei -vf auch dann erzwungen, wenn diese mit der Option -Vr deaktiviert wurde. |
-Vl |
Listet aktuelle Einstellungen für die Überprüfung starker Namen auf dem Computer auf. |
-Vr Assembly [Benutzerliste] [Eingabedatei] |
Registriert Assembly für das Überspringen bei der Überprüfung. Optional können Sie eine durch Trennzeichen getrennte Liste von Benutzernamen angeben. Wenn Sie Eingabedatei angeben, bleibt die Überprüfung aktiviert, es wird jedoch der öffentliche Schlüssel in Eingabedatei bei Überprüfungsvorgängen verwendet. Assembly kann in der Form *, strongname angegeben werden, um alle Assemblys mit dem angegebenen starken Namen zu registrieren. Strongname muss als die Zeichenfolge hexadezimaler Ziffern angegeben werden, die die Tokendarstellung des öffentlichen Schlüssels angibt. Siehe die Optionen -t und -T zum Anzeigen des Tokens des öffentlichen Schlüssels.
Vorsicht:
Verwenden Sie diese Option nur bei der Entwicklung. Das Überspringen der Überprüfung einer Assembly kann ein erhebliches Sicherheitsrisiko darstellen. Wenn die Überprüfung einer Assembly übersprungen wird, besteht die Gefahr, dass deren vollständig angegebener Assemblyname (Assemblyname, Version, Kultur und öffentliches Schlüsseltoken) als falsche Identität einer böswilligen Assembly verwendet wird. Dadurch würde auch die Überprüfung der böswilligen Assembly übersprungen.
|
-Vu Assembly |
Hebt die Registrierung von Assembly für das Überspringen bei der Überprüfung auf. Für -Vu gelten dieselben Regeln für die Angabe der Assembly wie bei -Vr. |
-Vx |
Entfernt alle Einträge für das Überspringen bei der Überprüfung. |
-? |
Zeigt die Befehlssyntax und Optionen für das Tool an. |
Tipp
Bei allen Optionen für Sn.exe wird die Groß- und Kleinschreibung beachtet. Sie müssen genau wie in der vorhergehenden Tabelle eingegeben werden, um vom Tool interpretiert werden zu können.
Hinweise
Die Optionen -R und -Rc sind bei Assemblys sinnvoll, die verzögert signiert wurden. In diesem Szenario wurde während der Kompilierung nur der öffentliche Schlüssel festgelegt. Die Signierung erfolgt erst, wenn der private Schlüssel bekannt ist.
Beispiele
Mit dem folgenden Befehl wird ein neues, nach dem Zufallsprinzip erzeugtes Schlüsselpaar erstellt und in keyPair.snk gespeichert.
sn -k keyPair.snk
Mit dem folgenden Befehl wird der Schlüssel aus keyPair.snk im CSP für starke Namen im Container MyContainer gespeichert.
sn -i keyPair.snk MyContainer
Der folgende Befehl extrahiert den öffentlichen Schlüssel aus keyPair.snk und speichert ihn in publicKey.snk.
sn -p keyPair.snk publicKey.snk
Mit dem folgenden Befehl werden der öffentliche Schlüssel und das Token für den öffentlichen Schlüssel in publicKey.snk angezeigt.
sn -tp publicKey.snk
Mit dem folgenden Befehl wird die Assembly MyAsm.dll überprüft.
sn -v MyAsm.dll
Mit dem folgenden Befehl wird MyContainer aus dem Standard-CSP gelöscht.
sn -d MyContainer