签名工具是一个命令行工具,用于对文件进行数字签名,以及验证文件和时间戳文件中的签名。
此工具会自动随 Visual Studio 一起安装。 若要运行此工具,请使用 Visual Studio 开发人员命令提示(或 Windows 7 中的 Visual Studio 命令提示)。 有关详细信息,请参阅命令提示。
在命令提示符处,键入以下内容:
语法
signtool [command] [options] [file_name | ...]
参数
表 1
参数 | 描述 |
| 指定要对文件执行的操作的四个命令( |
| 用于修改命令的选项。 除全局 |
| 要进行签名的文件的路径。 |
签名工具支持下列命令。 每个命令均与不同的选项集结合使用,这些选项集已在其各自的节中列出。
表 2
命令 | 描述 |
| 在目录数据库中添加或移除目录文件。 目录数据库用于自动查找目录文件,并由 GUID 标识。 有关 |
| 对文件进行数字签名。 数字签名可以阻止文件被篡改,并且使用户能够基于签名证书验证签名者。 有关 |
| 为文件添加时间戳。 有关 |
| 通过确定签名证书是否由受信任的颁发机构颁发、是否已撤消签名证书,以及签名证书对于特定策略是否有效(可选)来验证文件的数字签名。 有关 |
下列选项适用于所有签名工具命令。
表 3
全局选项 | 描述 |
/q | 如果命令运行成功,则不显示输出;如果命令运行失败,则显示最小输出。 |
/v | 无论命令是否运行成功,都显示详细输出,并显示警告消息。 |
/debug | 显示调试信息。 |
catdb 命令选项
下表列出了可与 catdb
命令一起使用的选项。
表 4
Catdb 选项 | 描述 |
| 指定更新默认目录数据库。 如果 |
| 指定由全局唯一标识符 GUID 标识的目录数据库已更新。 |
| 从目录数据库中移除指定的目录。 如果未指定该选项,签名工具将向目录数据库添加指定目录。 |
| 指定自动为添加的目录文件生成唯一名称。 如有必要,重命名目录文件以阻止与现有目录文件发生名称冲突。 如果未指定该选项,签名工具将覆盖与所添加的目录同名的任何现有目录。 |
sign 命令选项
下表列出了可与 sign
命令一起使用的选项。
表 5
Sign 命令选项 | 描述 |
| 自动选择最佳签名证书。 签名工具将查找满足所有指定条件的所有有效证书,并选择有效时间最长的证书。 如果未提供该选项,签名工具仅查找一个有效的签名证书。 |
| 将 file 中的其他证书添加到签名块。 |
| 追加此签名。 如果不存在主签名,则改为使此签名成为主签名。 |
| 指定用于对证书进行签名的证书模板名(一个 Microsoft 扩展)。 |
| 指定包含私钥容器的加密服务提供程序 (CSP)。 |
| 指定已签名内容的说明。 |
| 为已签名内容的详细说明指定统一资源定位器 (URL)。 |
| 指定文件中的签名证书。 如果文件采用个人信息交换 (PFX) 格式且受密码保护,则使用 |
| 指定要用于创建文件签名的文件摘要算法。 默认值为 SHA1。 |
| 指定签名证书的颁发者的名称。 该值可以是整个颁发者名称的子字符串。 |
| 指定私钥容器名。 |
| 指定签名证书的主题的名称。 该值可以是整个主题名称的子字符串。 |
| 如果支持,则取消可执行文件的页面哈希。 默认值由 SIGNTOOL_PAGE_HASHES 环境变量和 wintrust.dll 版本决定。 对于非 PE 文件,忽略此选项。 |
| 指定打开 PFX 文件时要使用的密码。 (使用 |
| 指定为每个指定的内容文件生成的公钥加密标准 (PKCS) #7 文件。 PKCS #7 文件命名为 path\filename.p7。 |
| 为已签名的 PKCS #7 内容指定选项。 将 Value 设置为“嵌入的”,可将已签名内容嵌入到 PKCS #7 文件中;如果设置为“DetachedSignedData”,则可生成分离的 PKCS #7 文件的已签名数据部分。 如果未使用 |
| 指定标识已签名的 PKCS #7 内容的对象标识符 (OID)。 |
| 如果支持,则生成可执行文件的页面哈希。 |
| 指定签名证书必须链接到的根证书的主题名称。 该值可以是根证书的整个主题名称的子字符串。 |
| 指定要在搜索证书时打开的存储。 如果未指定该选项,则打开 |
| 指定签名证书的 SHA1 哈希。 当多个证书满足剩余开关指定的条件时,通常会指定 SHA1 哈希。 |
| 指定使用计算机存储,而不是用户存储。 |
| 指定时间戳服务器的 URL。 如果该选项(或 |
| 将此选项与 |
| 指定 RFC 3161 时间戳服务器的 URL。 如果该选项(或 |
| 指定签名证书中必须存在的增强型密钥用法 (EKU)。 可以通过 OID 或字符串指定该用法的值。 默认用法为“代码签名”(1.3.6.1.5.5.7.3.3)。 |
| 指定“Windows 系统组件验证”(1.3.6.1.4.1.311.10.3.6) 的用法。 |
有关用法示例,请参阅 Using SignTool to Sign a File(使用 SignTool 为文件签名)。
TimeStamp 命令选项
下表列出了可与 TimeStamp
命令一起使用的选项。
表 6
TimeStamp 选项 | 描述 |
| 对 PKCS #7 文件执行时间戳操作。 |
| 指定时间戳服务器的 URL。 要执行时间戳操作的文件必须在以前已进行签名。 需要 |
| 请求 RFC 3161 时间戳服务器使用的摘要算法。 |
| 对 index 处的签名进行时间戳操作。 |
| 指定 RFC 3161 时间戳服务器的 URL。 要执行时间戳操作的文件必须在以前已进行签名。 需要 |
有关使用示例,请参阅 Adding Time Stamps to Previously Signed Files(向之前已签名的文件添加时间戳)。
Verify 命令选项
表 7
Verify 选项 | 描述 |
| 指定可以使用所有方法来验证文件。 首先,搜索目录数据库以确定是否在目录中对文件进行签名。 如果未在任何目录中对文件进行签名,签名工具将尝试验证文件的嵌入签名。 验证可以或不能在目录中进行签名的文件时,建议使用该选项。 这些文件的示例包括 Windows 文件或驱动程序。 |
| 使用默认的目录数据库查找目录。 |
| 在由 CatDBGUID 标识的目录数据库中查找目录。 |
| 验证包含多个签名的文件中的所有签名。 |
| 使用系统组件(驱动程序)目录数据库查找目录。 |
| 通过名称指定目录文件。 |
| 指定签名工具应打印描述和描述 URL。 |
| 验证指定位置的签名。 |
| 指定在目录中搜索文件时要使用的可选哈希算法。 |
| 指定应使用内核模式驱动程序签名策略执行验证。 |
| 使用多个验证语义。 这是 Windows 8 和更高版本上的 WinVerifyTrust 调用的默认行为。 |
| 按操作系统版本验证文件。 版本具有以下格式:PlatformID:VerMajor.VerMinor.BuildNumber。 PlatformID 表示 PlatformID 枚举成员的基础值。 重要提示: 建议使用 |
| 验证 PKCS #7 文件。 无现有策略用于 PKCS #7 验证。 该签名处于选中状态,并为签名证书生成了链。 |
| 指定应使用默认认证码验证策略。 如果未指定 |
| 通过 GUID 指定验证策略。 PolicyGUID 相当于验证策略的 ActionID。 此选项不能与 |
| 指定签名工具应打印并验证页面哈希值。 |
| 指定签名证书必须链接到的根证书的主题名称。 该值可以是根证书的整个主题名称的子字符串。 |
| 指定在未对签名进行时间戳操作时应生成警告。 |
有关用法示例,请参阅 Using SignTool to Verify a File Signature(使用 SignTool 验证文件签名)。
返回值
当其终止时,签名工具将返回下列退出代码之一。
表 8
退出代码 | 描述 |
0 | 执行成功。 |
1 | 执行失败。 |
2 | 执行完成,但出现警告。 |
示例
以下命令将目录文件 MyCatalogFileName.cat 添加到系统组件和驱动程序数据库中。 如有必要阻止替换名为 /u
的现有目录文件,MyCatalogFileName.cat
选项会生成唯一名称。
signtool catdb /v /u MyCatalogFileName.cat
以下命令通过使用最佳证书对文件进行自动签名。
signtool sign /a MyFile.exe
以下命令使用存储在受密码保护的 PFX 文件中的证书对文件进行数字签名。
signtool sign /f MyCert.pfx /p MyPassword MyFile.exe
以下命令对文件进行数字签名并加盖时间戳。 用于对文件进行签名的证书存储在 PFX 文件中。
signtool sign /f MyCert.pfx /t http://timestamp.digicert.com MyFile.exe
以下命令通过使用位于 My
存储中的证书对文件进行签名,该证书的主题名为 My Company Certificate
。
signtool sign /n "My Company Certificate" MyFile.exe
以下命令对 ActiveX 控件进行签名,并提供在系统提示用户安装此控件时由 Internet Explorer 显示的信息。
Signtool sign /f MyCert.pfx /d: "MyControl" /du http://www.example.com/MyControl/info.html MyControl.exe
以下命令对已进行数字签名的文件加盖时间戳。
signtool timestamp /t http://timestamp.digicert.com MyFile.exe
以下命令确认文件已签名。
signtool verify MyFile.exe
以下命令验证可能已在目录中签名的系统文件。
signtool verify /a SystemFile.dll
以下命令验证已在名为 MyCatalog.cat
目录中签名的系统文件。
signtool verify /c MyCatalog.cat SystemFile.dll