Gewusst wie: Signieren von Setupdateien mit SignTool.exe (ClickOnce)
Sie können "SignTool.exe" verwenden, um ein Setupprogramm (setup.exe) zu signieren. So können Sie sicherstellen, dass auf Endbenutzercomputern keine manipulierten Dateien installiert werden.
Standardmäßig verfügt ClickOnce über Manifeste und ein signiertes Setupprogramm. Wenn Sie die Parameter des Setupprogramms später jedoch ändern möchten, müssen Sie das Setupprogramm signieren. Wenn Sie die Parameter ändern, nachdem das Setupprogramm signiert wurde, wird die Signatur beschädigt.
Beim folgenden Verfahren werden unsignierte Manifeste und ein unsigniertes Setupprogramm generiert. Anschließend wird in Visual Studio das ClickOnce-Signieren aktiviert, um signierte Manifeste zu generieren. Das Setupprogramm bleibt unsigniert, sodass der Kunde die ausführbare Datei mit einem eigenen Zertifikat signieren kann.
So generieren Sie ein unsigniertes Setupprogramm und signieren es später
Installieren Sie auf dem Entwicklungscomputer das Zertifikat, mit dem Sie die Manifeste signieren möchten.
Wählen Sie das Projekt im Projektmappen-Explorer aus.
Klicken Sie im Menü Projekt auf Projektname-Eigenschaften.
Deaktivieren Sie auf der Seite Signierung die Option ClickOnce-Manifeste signieren.
Klicken Sie auf der Seite Veröffentlichen auf Erforderliche Komponenten.
Überprüfen Sie, ob alle erforderlichen Komponenten aktiviert sind, und klicken Sie dann auf OK.
Überprüfen Sie auf der Seite Veröffentlichen die Veröffentlichungseinstellungen, und klicken Sie dann auf Jetzt veröffentlichen.
Die Projektmappe veröffentlicht das unsignierte Anwendungsmanifest, das unsignierte Bereitstellungsmanifest, versionsspezifische Dateien und das unsignierte Setupprogramm unter dem Pfad des Veröffentlichungsordners.
Klicken Sie auf der Seite Veröffentlichen auf Erforderliche Komponenten.
Deaktivieren Sie im Dialogfeld Erforderliche Komponenten die Option Setupprogramm zur Installation erforderlicher Komponenten erstellen.
Überprüfen Sie auf der Seite Veröffentlichen die Veröffentlichungseinstellungen, und klicken Sie dann auf Jetzt veröffentlichen.
Die Projektmappe veröffentlicht das signierte Anwendungsmanifest, das signierte Bereitstellungsmanifest und versionsspezifische Dateien unter dem Pfad des Veröffentlichungsordners. Das unsignierte Setupprogramm wird vom Veröffentlichungsvorgang nicht überschrieben.
Öffnen Sie auf der Kundensite eine Eingabeaufforderung.
Wechseln Sie in das Verzeichnis, das die EXE-Datei enthält.
Signieren Sie die EXE-Datei mit dem folgenden Befehl:
signtool sign /sha1 CertificateHash Setup.exe signtool sign /f CertFileName Setup.exe
Verwenden Sie zum Beispiel einen der folgenden Befehle, um das Setupprogramm zu signieren:
signtool sign /sha1 CCB... Setup.exe signtool sign /f CertFileName Setup.exe
Siehe auch
Aufgaben
Gewusst wie: Erneutes Signieren von Anwendungs- und Bereitstellungsmanifesten
Weitere Ressourcen
Gewusst wie: Signieren von Setupdateien mit "SignTool.exe" (Windows Installer)