Problemas conhecidos e solução de problemas do SignTool
Os tipos mais comuns de erros ao usar o SignTool são internos e normalmente têm a seguinte aparência:
SignTool Error: An unexpected internal error has occurred.
Error information: "Error: SignerSign() failed." (-2147024885 / 0x8007000B)
Se o código de erro começar com 0x8008, como 0x80080206 (APPX_E_CORRUPT_CONTENT), o pacote que está sendo assinado é inválido. Se você receber esse tipo de erro, deverá recriar o pacote e executar o SignTool novamente.
SignTool tem uma opção de depuração disponível para mostrar erros de certificado e filtragem. Para usar o recurso de depuração, coloque a /debug
opção logo após sign
, seguida pelo comando SignTool completo.
SignTool sign /debug [options]
Um erro mais comum é 0x8007000B. Para esse tipo de erro, você pode encontrar mais informações no log de eventos.
Para encontrar mais informações no log de eventos:
- Executar Eventvwr.msc
- Abra o log de eventos: Visualizador de Eventos (Local) - Logs de Aplicativos e Serviços - Microsoft - Windows - AppxPackagingOM - Microsoft-Windows-AppxPackaging>>>>>/Operational
- Localizar o evento de erro mais recente
O erro interno 0x8007000B geralmente corresponde a um destes valores:
ID do evento | Exemplo de cadeia de caracteres de evento | Sugestão |
---|---|---|
150 | 0x8007000B de erro: O nome do editor do manifesto do aplicativo (CN=Contoso) deve corresponder ao nome da entidade do certificado de assinatura (CN=Contoso, C=US). | O nome do editor do manifesto do aplicativo deve corresponder exatamente ao nome da entidade da assinatura. |
151 | 0x8007000B de erro: O método de hash de assinatura especificado (SHA512) deve corresponder ao método de hash usado no mapa de bloco de pacote do aplicativo (SHA256). | O hashAlgorithm especificado no parâmetro /fd está incorreto. Execute novamente o SignTool usando hashAlgorithm que corresponde ao mapa de blocos do pacote do aplicativo (usado para criar o pacote do aplicativo) |
152 | 0x8007000B de erro: O conteúdo do pacote do aplicativo deve ser validado em relação ao seu mapa de blocos. | O pacote do aplicativo está corrompido e precisa ser reconstruído para gerar um novo mapa de blocos. Para obter mais informações sobre como criar um pacote de aplicativo, consulte Criar um pacote de aplicativo com a ferramenta MakeAppx.exe |
Outro erro comum é 0x80080057. Poderá detectar os seguintes problemas quando tenta iniciar um ficheiro executável portátil (PE) utilizando a ferramenta SignTool no Windows:
Falha ao assinar um arquivo PE com 4 gigabytes (GB) ou maior. Quando você tenta assinar, você recebe uma mensagem de erro "parâmetro inválido (0x80080057)".
Para arquivos maiores que 4 GB, o hash gerado pode não ser preciso, mesmo que o SignTool possa assinar o arquivo com êxito.
Observação
Isso é especialmente verdadeiro para arquivos .cat.
Esse problema ocorre para arquivos PE, como .exe, .sys e assim por diante. Esse problema ocorre devido a uma variável ULONG no cabeçalho PE que especifica o tamanho da imagem. (O tamanho da imagem é de 2 GB para sistemas operacionais de nível inferior, como o Vista e versões anteriores.) Esta é uma limitação de projeto desde 1996. O limite máximo para esse valor é de 4 GB para arquivos PE, como .exe e .sys. Embora os arquivos .cat geralmente sejam sinalizáveis, o hash interno gerado pode não ser preciso.
Para contornar esse problema, certifique-se de que qualquer arquivo PE que você tenta assinar é menor que 4 GB. Devido aos riscos de compatibilidade com versões anteriores, nem backports nem uma correção permanente são possíveis no momento. No entanto, essa questão está sendo investigada.
Observação
Esse problema não é específico do SignTool. O design do cabeçalho PE é limitado a 4 GB para o Windows 7 e versões posteriores do Windows, independentemente da ferramenta usada.
Perguntas frequentes
P1: Qual é o limite de tamanho de arquivo oficial atual para uma assinatura digital (e contraassinatura de carimbo de data/hora) no Windows?
R1: Para arquivos PE, como .exe e .sys, o tamanho máximo de arquivo para assinatura é de 4 GB.
P2: Existe uma versão específica do Windows, como o Windows Server 2016, que tem a maior capacidade de assinar arquivos grandes?
R2: Não, o problema afeta todas as versões do Windows.
P3: A versão de 64 bits do Signtool tem melhor suporte para essa funcionalidade do que a versão de 32 bits?
R: Não, a versão de 64 bits do SignTool usa os mesmos valores que a versão de 32 bits. Portanto, o problema permanece em 64 bits.
P4: Os clientes que estão usando uma versão de 32 bits do Windows potencialmente enfrentariam problemas se tentassem usar arquivos assinados usando a versão de 64 bits do SignTool?
R: Não. No entanto, as limitações permaneceriam independentemente de qual versão do SignTool é usada.
P5: Devemos usar uma ferramenta ou método de assinatura completamente diferente?
R: Atualmente, não temos nenhum método alternativo para assinatura digital.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de