Condividi tramite


Firmare il pacchetto di un'app tramite SignTool

SignTool è uno strumento da riga di comando usato per firmare digitalmente un pacchetto dell'app o un bundle con un certificato. Il certificato può essere creato dall'utente (a scopo di test) o rilasciato da una società (per la distribuzione). La firma di un pacchetto dell'app fornisce all'utente la verifica che i dati dell'app non siano stati modificati dopo la firma, confermando anche l'identità dell'utente o dell'azienda che l'ha firmata. SignTool può firmare pacchetti e bundle di app crittografati o non crittografati.

Importante

Se visual Studio è stato usato per sviluppare l'app, è consigliabile usare la procedura guidata di Visual Studio per creare e firmare il pacchetto dell'app. Per altre informazioni, vedere Creare un pacchetto di un'app UWP con Visual Studio e Creare un pacchetto di un'app desktop dal codice sorgente usando Visual Studio.

Per altre informazioni sulla firma del codice e sui certificati in generale, vedere Introduzione alla firma del codice.

Prerequisiti

  • Un'app in pacchetto
    Per altre informazioni sulla creazione manuale di un pacchetto di app, vedere Creare un pacchetto di app con lo strumento MakeAppx.exe.

  • Certificato di firma valido
    Per altre informazioni sulla creazione o l'importazione di un certificato di firma valido, vedere Creare o importare un certificato per la firma del pacchetto.

  • SignTool.exe
    In base al percorso di installazione dell'SDK, questo è il percorso in cui SignTool si trova nel PC Windows 10:

    • x86: C:\Programmi (x86)\Windows Kits\10\bin\sdk version>\<x86\SignTool.exe
    • x64: C:\Programmi (x86)\Windows Kits\10\bin\<sdk version>\x64\SignTool.exe

Uso di SignTool

SignTool può essere usato per firmare file, verificare firme o timestamp, rimuovere firme e altro ancora. Ai fini della firma di un pacchetto dell'app, ci concentreremo sul comando di firma . Per informazioni complete su SignTool, vedere la pagina di riferimento di SignTool.

Determinare l'algoritmo hash

Quando si usa SignTool per firmare il pacchetto o il bundle dell'app, l'algoritmo hash usato in SignTool deve essere lo stesso algoritmo usato per creare il pacchetto dell'app. Ad esempio, se hai usato MakeAppx.exe per creare il pacchetto dell'app con le impostazioni predefinite, devi specificare SHA256 quando usi SignTool perché questo è l'algoritmo predefinito usato da MakeAppx.exe.

Per scoprire quale algoritmo hash è stato usato durante la creazione del pacchetto dell'app, estrarre il contenuto del pacchetto dell'app ed esaminare il file AppxBlockMap.xml. Per informazioni su come decomprimere/estrarre un pacchetto dell'app, vedere Estrarre file da un pacchetto o un bundle. Il metodo hash si trova nell'elemento BlockMap e ha questo formato:

<BlockMap xmlns="http://schemas.microsoft.com/appx/2010/blockmap"
HashMethod="http://www.w3.org/2001/04/xmlenc#sha256">

Questa tabella mostra ogni valore HashMethod e l'algoritmo hash corrispondente:

Valore HashMethod Algoritmo hash
http://www.w3.org/2001/04/xmlenc#sha256 SHA256
http://www.w3.org/2001/04/xmldsig-more#sha384 SHA384
http://www.w3.org/2001/04/xmlenc#sha512 SHA512

Nota

Poiché l'algoritmo predefinito di SignTool è SHA1 (non disponibile in MakeAppx.exe), è sempre necessario specificare un algoritmo hash quando si usa SignTool.

Firmare il pacchetto dell'app

Dopo aver ottenuto tutti i prerequisiti e aver determinato quale algoritmo hash è stato usato per creare il pacchetto dell'app, è possibile firmarlo.

La sintassi della riga di comando generale per la firma del pacchetto SignTool è:

SignTool sign [options] <filename(s)>

Il certificato usato per firmare l'app deve essere un file pfx o essere installato in un archivio certificati.

Per firmare il pacchetto dell'app con un certificato da un file pfx, usare la sintassi seguente:

SignTool sign /fd <Hash Algorithm> /a /f <Path to Certificate>.pfx /p <Your Password> <File path>.appx
SignTool sign /fd <Hash Algorithm> /a /f <Path to Certificate>.pfx /p <Your Password> <File path>.msix

Si noti che l'opzione /a consente a SignTool di scegliere automaticamente il certificato migliore.

Se il certificato non è un file pfx, usare la sintassi seguente:

SignTool sign /fd <Hash Algorithm> /n <Name of Certificate> <File Path>.appx
SignTool sign /fd <Hash Algorithm> /n <Name of Certificate> <File Path>.msix

In alternativa, è possibile specificare l'hash SHA1 del certificato desiderato anziché <il nome del certificato> usando questa sintassi:

SignTool sign /fd <Hash Algorithm> /sha1 <SHA1 hash> <File Path>.appx
SignTool sign /fd <Hash Algorithm> /sha1 <SHA1 hash> <File Path>.msix

Per altri esempi, vedere Uso di SignTool per firmare un file

Si noti che alcuni certificati non usano una password. Se il certificato non ha una password, omettere "/p <Your Password>" dai comandi di esempio.

Dopo aver firmato il pacchetto dell'app con un certificato valido, sei pronto per caricare il pacchetto nello Store. Per altre indicazioni sul caricamento e l'invio di app allo Store, vedi Invii di app.