SignTool.exe (Signaturtool)
Beim Signierungstool handelt es sich um ein Befehlszeilentool, das Dateien digital signiert, Signaturen in Dateien überprüft und Dateien Zeitstempel hinzufügt.
Dieses Tool wird automatisch mit Visual Studio installiert. Um das Tool auszuführen, verwenden Sie die Developer-Eingabeaufforderung von Visual Studio oder Visual Studio Developer PowerShell.
Hinweis
Das Windows 10 SDK, Windows 10 HLK, Windows 10 WDK und Windows 10 ADK ab Build 20236 erfordern die Angabe des Digestalgorithmus. Der SignTool-Befehl sign erfordert die Angabe der Option für den Digestalgorithmus für Dateien/fd und den Digestalgorithmus für Zeitstempel/td während der Erstellung von Signaturen bzw. Zeitstempeln. Ein Fehler (Fehlercode 1) wird ausgelöst, wenn /fd beim Erstellen der Signatur und /td beim Erstellen des Zeitstempels nicht angegeben wird.
Geben Sie an der Eingabeaufforderung Folgendes ein:
Syntax
signtool [command] [options] [file_name | ...]
Parameter
| Argument | BESCHREIBUNG |
|---|---|
command |
Einer von vier Befehlen (catdb, sign, Timestamp oder Verify), der einen für eine Datei auszuführenden Vorgang angibt. In der folgenden Tabelle finden Sie eine Beschreibung der einzelnen Befehle. |
options |
Eine Option, die einen Befehl ändert. Neben der globalen /q-Option und /v-Option wird von jedem Befehl ein eindeutiger Satz von Optionen unterstützt. |
file_name |
Der Pfad zu einer zu signierenden Datei. |
Vom Signierungstool werden die folgenden Befehle unterstützt. Jeder Befehl wird mit einem unterschiedlichem Satz von Optionen verwendet, die in den jeweiligen Abschnitten aufgeführt sind.
| Get-Help | Beschreibung |
|---|---|
catdb |
Fügt einer Katalogdatenbank eine Katalogdatei hinzu oder entfernt sie daraus. Katalogdatenbanken werden für die automatische Suche von Katalogdateien verwendet und mit einer GUID gekennzeichnet. Eine Liste der vom catdb-Befehl unterstützten Optionen finden Sie unter catdb-Befehlsoptionen. |
sign |
Signiert Dateien digital. Digitale Signaturen schützen Dateien vor Manipulationen und ermöglichen es Benutzern, den Signaturgeber anhand eines Signaturzertifikats zu überprüfen. Eine Liste der vom sign-Befehl unterstützten Optionen finden Sie unter sign-Befehlsoptionen. |
Timestamp |
Fügt Dateien Timestamps hinzu. Eine Liste der vom TimeStamp-Befehl unterstützten Optionen finden Sie unter TimeStamp-Befehlsoptionen. |
Verify |
Überprüft die digitale Signatur von Dateien, indem ermittelt wird, ob das Signaturzertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, ob das Signaturzertifikat widerrufen wurde, und (optional) ob das Signaturzertifikat für eine bestimmte Richtlinie gültig ist. Eine Liste der vom Verify-Befehl unterstützten Optionen finden Sie unter Verify-Befehlsoptionen. |
Die folgenden Optionen gelten für alle Signierungstoolbefehle.
| Globale Option | Beschreibung |
|---|---|
| /q | Bei erfolgreicher Ausführung des Befehls erfolgt keine Ausgabe, bei einen Fehler werden minimale Daten ausgegeben |
| /v | Zeigt unabhängig von der erfolgreichen Ausführung des Befehls eine ausführliche Ausgabe und Warnmeldungen an. |
| /debug | Zeigt Debuginformationen an. |
catdb-Befehlsoptionen
In der folgenden Tabelle werden die Optionen aufgeführt, die mit dem catdb-Befehl verwendet werden können.
| Catdb-Option | Beschreibung |
|---|---|
/d |
Gibt an, dass die Standardkatalogdatenbank aktualisiert wird. Wenn weder die /d-Option noch die /g-Option verwendet wird, führt das Signierungstool ein Update der Systemkomponenten- und Treiberdatenbank aus. |
/gGUID |
Gibt an, dass die durch die GUID (Globally Unique Identifier) bezeichnete Katalogdatenbank aktualisiert wird. |
/r |
Entfernt die angegebenen Kataloge aus der Katalogdatenbank. Wenn diese Option nicht angegeben wird, fügt das Signierungstool der Katalogdatenbank die angegebenen Kataloge hinzu. |
/u |
Gibt an, dass automatisch ein eindeutiger Name für die hinzugefügten Katalogdateien generiert wird. Ggf. werden die Katalogdateien umbenannt, um Namenskonflikte mit vorhandenen Katalogdateien zu verhindern. Wenn diese Option nicht angegeben wird, werden vorhandene Kataloge vom Signierungstool mit gleichnamigen hinzuzufügenden Katalogen überschrieben. |
sign-Befehlsoptionen
In der folgenden Tabelle werden die Optionen aufgeführt, die mit dem sign-Befehl verwendet werden können.
| Sign-Befehlsoption | Beschreibung |
|---|---|
/a |
Wählt automatisch das beste Signaturzertifikat aus. Das Signierungstool findet alle gültigen Zertifikate, die sämtliche angegebenen Bedingungen erfüllen, und wählt das Zertifikat mit der längsten Gültigkeitsdauer aus. Wenn diese Option nicht vorhanden ist, wird vom Signierungstool nur ein bestehendes gültiges Signaturzertifikat erwartet. |
/acdatei |
Fügt dem Signaturblock ein zusätzliches Zertifikat aus file hinzu. |
/as |
Fügt diese Signatur an. Wenn keine Primärsignatur vorhanden ist, wird diese Signatur stattdessen zur Primärsignatur. |
/cZertVorlagenname |
Gibt den Zertifikatsvorlagennamen (eine Microsoft-Erweiterung) für das Signaturzertifikat an. |
/cspCSPName |
Gibt den Kryptografiedienstanbieter (CSP) an, der den privaten Schlüsselcontainer enthält. |
/dBeschr |
Gibt eine Beschreibung des signierten Inhalts an. |
/duURL |
Gibt eine URL (Uniform Resource Locator) für die erweiterte Beschreibung des signierten Inhalts an. |
/fSignZertDatei |
Gibt das Signaturzertifikat in einer Datei an. Wenn die Datei im PFX-Format (Personal Information Exchange) vorliegt und mit einem Kennwort gesichert ist, verwenden Sie zur Angabe des Kennworts die /p-Option. Wenn die Datei keine privaten Schlüssel aufweist, verwenden Sie die /csp-Option und /kc-Option, um den CSP-Namen und den Namen des privaten Schlüsselcontainers anzugeben. |
/fd |
Gibt den Dateihashwertalgorithmus zum Erstellen von Dateisignaturen an. Hinweis: Ein Fehler wird generiert, wenn beim Erstellen der Signatur der Parameter /fd nicht angegeben wird. |
/fdcertHash |
Durch Angabe der Zeichenfolge certHash wird standardmäßig der auf dem Signaturzertifikat verwendete Algorithmus verwendet. Hinweis: Ein Fehler wird generiert, wenn beim Erstellen der Signatur der Parameter /fd nicht angegeben wird. |
/iAusstellername |
Gibt den Namen des Ausstellers des Signaturzertifikats an. Dieser Wert kann eine Teilzeichenfolge des gesamten Ausstellernamens sein. |
/kcContainernameprivaterSchlüssel |
Gibt den Namen des privaten Schlüsselcontainers an. |
/nAntragstellername |
Gibt den Namen des Antragstellers des Signaturzertifikats an. Dieser Wert kann eine Teilzeichenfolge des gesamten Antragstellernamens sein. |
/nph |
Wenn unterstützt, werden Seitenhashes für ausführbare Dateien unterdrückt. Die Standardeinstellung wird von der SIGNTOOL_PAGE_HASHES-Umgebungsvariablen und der wintrust.dll-Version bestimmt. Für nicht portable ausführbare Dateien wird diese Option ignoriert. |
/pKennwort |
Gibt das Kennwort zum Öffnen einer PFX-Datei an. (Verwenden Sie die /f-Option, um eine PFX-Datei anzugeben.) |
/p7Pfad |
Gibt an, dass für jede ausgewählte Inhaltsdatei eine PKCS #7-Datei (Public Key Cryptography Standards) erstellt wird. PKCS #7-Dateien erhalten die Bezeichnung „Pfad\Dateiname.p7“. |
/p7ceValue |
Gibt Optionen für den signierten PKCS #7-Inhalt an. Legen Sie Wert auf „Embedded“ fest, um den signierten Inhalt in die PKCS #7-Datei einzubetten, oder auf „DetachedSignedData“, um den signierten Datenabschnitt einer getrennten PKCS #7-Datei zu erstellen. Ohne Verwendung der /p7ce-Option wird der signierte Inhalt standardmäßig eingebettet. |
/p7co<OID> |
Gibt den Objektbezeichner (OID) zur Identifizierung des signierten PKCS #7-Inhalts an. |
/ph |
Wenn unterstützt, werden Seitenhashes für ausführbare Dateien generiert. |
/rRootSubjectName |
Gibt den Antragstellernamen des Stammzertifikats an, mit dem das Signaturzertifikat verkettet werden muss. Dieser Wert kann eine Teilzeichenfolge des gesamten Antragstellernamens des Stammzertifikats sein. |
/sSpeichername |
Gibt den beim Suchen des Zertifikats zu öffnenden Speicher an. Ohne Angabe dieser Option wird der My-Speicher geöffnet. |
/sha1Hash |
Gibt den SHA1-Hash des Signaturzertifikats an. In der Regel wird der SHA1-Hash angegeben, wenn die von den verbleibenden Schaltern festgelegten Kriterien von mehreren Zertifikaten erfüllt werden. |
/sm |
Gibt an, dass anstatt eines Benutzerspeichers ein Computerspeicher verwendet wird. |
/tURL |
Gibt die URL des Zeitstempelservers an. Wenn diese Option (oder /tr) nicht vorhanden ist, wird der signierten Datei kein Zeitstempel hinzugefügt. Im Fall eines Fehlers beim Hinzufügen des Zeitstempels wird eine Warnung generiert. Diese Option kann nicht mit der /tr-Option verwendet werden. |
/tdalg |
Wird mit der /tr-Option zum Anfordern eines vom RFC 3161-Zeitstempelserver verwendeten Digestalgorithmus genutzt. Hinweis: Ein Fehler wird generiert, wenn beim Erstellen des Zeitstempels /td nicht angegeben wird. |
/trURL |
Gibt die URL des RFC 3161-Zeitstempelservers an. Wenn diese Option (oder /t) nicht vorhanden ist, wird der signierten Datei kein Zeitstempel hinzugefügt. Im Fall eines Fehlers beim Hinzufügen des Zeitstempels wird eine Warnung generiert. Diese Option kann nicht mit der /t-Option verwendet werden. |
/uVerwendung |
Gibt die verbesserte Schlüsselverwendung (EKU) an, die im Signaturzertifikat vorhanden sein muss. Der Verwendungswert kann durch einen OID oder eine Zeichenfolge angegeben werden. Die Standardverwendung lautet "Codesignatur" (1.3.6.1.5.5.7.3.3). |
/uw |
Gibt die Verwendung von "Verifizierung von Windows-Systemkomponenten" (1.3.6.1.4.1.311.10.3.6) an. |
Verwendungsbeispiele finden Sie unter Using SignTool to Sign a File (Signieren einer Datei mit SignTool).
TimeStamp-Befehlsoptionen
In der folgenden Tabelle werden die Optionen aufgeführt, die mit dem TimeStamp-Befehl verwendet werden können.
| TimeStamp-Option | Beschreibung |
|---|---|
/p7 |
Fügt PKCS #7-Dateien Zeitstempel hinzu. |
/tURL |
Gibt die URL des Zeitstempelservers an. Vor dem Hinzufügen eines Zeitstempels muss die jeweilige Datei signiert werden. Entweder die /t-Option oder die /tr-Option ist erforderlich. |
/tdalg |
Wird mit der /tr-Option zum Anfordern eines vom RFC 3161-Zeitstempelserver verwendeten Digestalgorithmus genutzt. Hinweis: Ein Fehler wird generiert, wenn beim Erstellen des Zeitstempels /td nicht angegeben wird. |
/tpindex |
Fügt der Signatur bei Index einen Zeitstempel hinzu |
/trURL |
Gibt die URL des RFC 3161-Zeitstempelservers an. Vor dem Hinzufügen eines Zeitstempels muss die jeweilige Datei signiert werden. Entweder die /tr-Option oder die /t-Option ist erforderlich. |
Ein Verwendungsbeispiel finden Sie unter Adding Time Stamps to Previously Signed Files (Hinzufügen von Zeitstempeln zu bereit signierten Dateien).
"Verify"-Befehlsoptionen
| "Verify"-Option | Beschreibung |
|---|---|
/a |
Gibt an, dass alle Methoden zum Überprüfen der Datei verwendet werden können. Zuerst werden die Katalogdatenbanken durchsucht, um zu ermitteln, ob die Datei in einem Katalog signiert ist. Wenn die Datei nicht in einem Katalog signiert ist, versucht das Signierungstool, die eingebettete Signatur der Datei zu überprüfen. Diese Option wird zum Überprüfen von Dateien empfohlen, die möglicherweise, jedoch nicht unbedingt in einem Katalog signiert sind. Beispiele für diese Dateien sind Windows-Dateien oder Treiber. |
/ad |
Sucht den Katalog in der Standardkatalogdatenbank. |
/agCatDBGUID |
Sucht den Katalog in der durch CatDBGUID angegebenen Katalogdatenbank. |
/all |
Überprüft alle Signaturen in einer Datei mit mehreren Signaturen. |
/as |
Sucht den Katalog in der Katalogdatenbank der Systemkomponenten (Treiber). |
/cCatFile |
Gibt die Katalogdatei anhand des Namens an. |
/d |
Gibt an, dass die Beschreibung und Beschreibungs-URL vom Signierungstool gedruckt werden sollen. |
/dsIndex |
Überprüft die Signatur an einer angegebenen Position. |
/hash (SHA1|SHA256) |
Gibt einen optionalen Hashalgorithmus zum Suchen einer Datei in einem Katalog an. |
/kp |
Gibt an, dass die Überprüfung mit der Signierungsrichtlinie für Kernelmodustreiber ausgeführt werden soll. |
/ms |
Verwendet mehrere Überprüfungssemantiken. Hierbei handelt es sich um das Standardverhalten eines WinVerifyTrust-Aufrufs unter Windows 8 und höher. |
/oVersion |
Überprüft die Datei anhand der Betriebssystemversion. Version hat das folgende Format: PlatformID:VerMajor.VerMinor.BuildNumber. PlatformID stellt den zugrundeliegenden Wert eines PlatformID-Enumerationsmembers dar. Wichtig: Die Verwendung des /o-Schalters wird empfohlen. Ohne Angabe von /o werden von SignTool.exe möglicherweise unerwartete Ergebnisse zurückgegeben. Beispiel: Wenn Sie den /o-Schalter nicht einbeziehen, werden unter älteren Betriebssystemen erfolgreich überprüfte Systemkataloge bei einem neueren Betriebssystem möglicherweise nicht ordnungsgemäß überprüft. |
/p7 |
Überprüft PKCS #7-Dateien. Bei der PKCS #7-Überprüfung werden keine vorhandenen Richtlinien verwendet. Die Signatur wird überprüft, und für das Signaturzertifikat wird eine Kette erstellt. |
/pa |
Gibt an, dass die standardmäßige Authenticode-Überprüfungsrichtlinie verwendet werden soll. Ohne Angabe der /pa-Option wird vom Signierungstool die Windows-Treiberüberprüfungsrichtlinie verwendet. Diese Option kann nicht mit den catdb-Optionen verwendet werden. |
/pgPolicyGUID |
Gibt eine Überprüfungsrichtlinie nach GUID an. Die PolicyGUID entspricht der „ActionID“ der Überprüfungsrichtlinie. Diese Option kann nicht mit den catdb-Optionen verwendet werden. |
/ph |
Gibt an, dass Seitenhashwerte vom Signierungstool gedruckt und überprüft werden sollen. |
/rRootSubjectName |
Gibt den Antragstellernamen des Stammzertifikats an, mit dem das Signaturzertifikat verkettet werden muss. Dieser Wert kann eine Teilzeichenfolge des gesamten Antragstellernamens des Stammzertifikats sein. |
/tw |
Gibt an, dass bei einer Signatur ohne Zeitstempel eine Warnung generiert werden soll. |
Verwendungsbeispiele finden Sie unter Using SignTool to Sign a File (Überprüfen einer Datei mit SignTool).
Rückgabewert
Beim Beenden wird vom Signierungstool einer der folgenden Exitcodes zurückgegeben.
| Exitcode | BESCHREIBUNG |
|---|---|
| 0 | Ausführung war erfolgreich. |
| 1 | Ausführung ist fehlgeschlagen. |
| 2 | Ausführung wurde mit Warnungen abgeschlossen. |
Beispiele
Durch den folgenden Befehl wird der Systemkomponenten- und Treiberdatenbank die Katalogdatei "MyCatalogFileName.cat" hinzugefügt. Mit der /u-Option wird ggf. ein eindeutiger Name generiert, um das Ersetzen einer möglicherweise vorhandenen Katalogdatei mit dem Namen MyCatalogFileName.cat zu verhindern.
signtool catdb /v /u MyCatalogFileName.cat
Durch den folgenden Befehl wird eine Datei automatisch mit dem besten Zertifikat signiert.
signtool sign /a /fd SHA256 MyFile.exe
Durch den folgenden Befehl wird eine Datei mit einem in einer kennwortgeschützten PFX-Datei gespeicherten Zertifikat digital signiert.
signtool sign /f MyCert.pfx /p MyPassword /fd SHA256 MyFile.exe
Durch den folgenden Befehl wird eine Datei digital signiert und mit einem Zeitstempel versehen. Das zum Signieren der Datei verwendete Zertifikat ist in einer PFX-Datei gespeichert.
signtool sign /f MyCert.pfx /t http://timestamp.digicert.com /fd SHA256 MyFile.exe
Durch den folgenden Befehl wird eine Datei mit einem Zertifikat aus dem My-Speicher signiert, das den Antragstellernamen My Company Certificate aufweist.
signtool sign /n "My Company Certificate" /fd SHA256 MyFile.exe
Der folgende Befehl signiert ein ActiveX-Steuerelement und stellt Informationen bereit, die dem Benutzer im Browser bei der Aufforderung zum Installieren des Steuerelements angezeigt werden.
Signtool sign /f MyCert.pfx /d: "MyControl" /du http://www.example.com/MyControl/info.html /fd SHA256 MyControl.exe
Durch den folgenden Befehl wird einer bereits digital signierten Datei ein Zeitstempel hinzugefügt.
signtool timestamp /t http://timestamp.digicert.com MyFile.exe
Der folgende Befehl versieht eine Datei unter Verwendung eines RFC 3161-Zeitstempelservers mit einem Zeitstempel.
signtool timestamp /tr http://timestamp.digicert.com /td SHA256 MyFile.exe
Durch den folgenden Befehl wird überprüft, ob eine Datei signiert wurde.
signtool verify MyFile.exe
Durch den folgenden Befehl wird eine möglicherweise in einem Katalog signierte Systemdatei überprüft.
signtool verify /a SystemFile.dll
Durch den folgenden Befehl wird eine Systemdatei überprüft, die in einem Katalog mit dem Namen MyCatalog.cat signiert ist.
signtool verify /c MyCatalog.cat SystemFile.dll
Siehe auch
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für