Signaturtool (SignTool.exe)

Das Signaturtool ist ein Befehlszeilentool, das Dateien digital signiert, Signaturen in Dateien überprüft und Dateien Timestamps hinzufügt.

HinweisHinweis

Das Signaturtool wird nicht von Microsoft Windows-NT, Windows Me, Windows 98 oder Windows 95 unterstützt.

signtool [command] [options] [file_name | ...]

Parameter

Argument Beschreibung

command

Eines der Befehlsflags, das einen Vorgang angibt, der für eine Datei ausgeführt werden soll.

options

Eines der Optionsflags, das ein Befehlsflag ändert.

file_name

Der Pfad zu einer zu signierenden Datei.

Die folgenden Befehle werden vom Signaturtool unterstützt.

Befehl Beschreibung

catdb

Fügt einer Katalogdatenbank eine Katalogdatei hinzu oder entfernt sie daraus.

sign

Signiert Dateien digital.

signwizard

Startet den Signatur-Assistenten. Nur eine einzelne Datei kann für das Befehlszeilenargument des Dateinamens angegeben werden.

timestamp

Fügt Dateien Timestamps hinzu.

verify

Überprüft die digitale Signatur von Dateien.

Die folgenden Optionen gelten für den **catdb****-Befehl.

Catdb-Option Beschreibung

/d

Gibt an, dass die Standardkatalogdatenbank aktualisiert wird. Wenn weder die Option /d, noch die Option /g verwendet wird, aktualisiert das Signaturtool die Systemkomponente und die Treiberdatenbank.

/g GUID

Gibt an, dass die durch die GUID (Globally Unique Identifier) bezeichnete Katalogdatenbank aktualisiert wird.

/r

Entfernt den angegebenen Katalog aus der Katalogdatenbank. Wenn diese Option nicht angegeben wird, fügt das Signaturtool der Katalogdatenbank den angegebenen Katalog hinzu.

/u

Gibt an, dass ein eindeutiger Name für die hinzugefügten Katalogdateien automatisch generiert wird. Gegebenenfalls werden die Katalogdateien umbenannt, um Namenskonflikte mit vorhandenen Katalogdateien zu verhindern. Wird diese Option nicht angegeben, überschreibt das Signaturtool jeden vorhandenen, gleichnamigen Katalog mit dem hinzuzufügenden Katalog.

HinweisHinweis

 Katalogdatenbanken werden zur automatischen Suche von Katalogdateien verwendet.

Die folgenden Optionen gelten für den ** **sign****-Befehl.

Sign-Option Beschreibung

/a

Wählt automatisch das beste Signaturzertifikat aus. Wenn diese Option nicht vorhanden ist, erwartet das Signaturtool nur ein gültiges Signaturzertifikat.

/c CertTemplateName

Gibt den Zertifikatsvorlagennamen (eine Microsoft-Erweiterung) für das Signaturzertifikat an.

/csp CSPName

Gibt den Kryptografiedienstanbieter (CSP) an, der den privaten Schlüsselcontainer enthält.

/d Desc

Gibt eine Beschreibung des signierten Inhalts an.

/du URL

Gibt einen URL (Uniform Resource Locator) für die erweiterte Beschreibung des signierten Inhalts an.

/f SignCertFile

Gibt das Signaturzertifikat in einer Datei an. Wenn es sich um eine PFX-Datei (Personal Information Exchange) handelt, die mit einem Kennwort gesichert ist, verwenden Sie zur Angabe des Kennworts die Option /p. Wenn die Datei keine privaten Schlüssel enthält, verwenden Sie die Optionen /csp und die /k, um den CSP-Namen bzw. den Namen des privaten Schlüsselcontainers anzugeben.

/i IssuerName

Gibt den Namen des Ausstellers des Signaturzertifikats an. Dieser Wert kann eine Teilzeichenfolge des gesamten Ausstellernamens sein.

/k PrivKeyContainerName

Gibt den Namen des privaten Schlüsselcontainers an.

/n SubjectName

Gibt den Namen des Betreffs des Signaturzertifikats an. Dieser Wert kann eine Teilzeichenfolge des gesamten Betreffnamens sein.

/p Password

Gibt das beim Öffnen einer PFX-Datei zu verwendende Kennwort an. Eine PFX-Datei kann mithilfe der Option /f festgelegt werden.

/r RootSubjectName

Gibt den Namen des Betreffs des Stammzertifikats an, mit dem das Signaturzertifikat verkettet werden muss. Dieser Wert kann eine Teilzeichenfolge des gesamten Betreffnamens des Stammzertifikats sein.

/s StoreName

Gibt beim Suchen nach dem Zertifikat den zu öffnenden Speicher an. Wird diese Option nicht angegeben, wird der persönliche Speicher geöffnet.

/sha1 Hash

Gibt den SHA1-Hash des Signaturzertifikats an.

/sm

Gibt an, dass statt eines Benutzerspeichers ein Computerspeicher verwendet wird.

/t URL

Gibt den URL des Timestampservers an. Wenn diese Option nicht vorhanden ist, wird der signierten Datei kein Timestamp hinzugefügt. Schlägt das Hinzufügen des Timestamps fehl, wird eine Warnung generiert.

/u Verwendung

Gibt die EKU (Enhanced Key Usage) an, die im Signaturzertifikat vorhanden sein muss. Der Verwendungswert kann durch OID oder eine Zeichenfolge angegeben werden. Die Standardverwendung ist "Codesignatur" (1.3.6.1.5.5.7.3.3).

Die folgende Option gilt für den ** timestamp-Befehl.

Timestamp-Option Beschreibung

/t URL

Erforderlich. Gibt den URL des Timestampservers an. Die mit einem Timestamp zu versehende Datei muss zuvor signiert worden sein.

Die folgenden Optionen gelten für den verify-Befehl.

Sign-Option Beschreibung

/a

Gibt an, dass alle Methoden zum Überprüfen der Datei verwendet werden können. Zuerst werden die Katalogdatenbanken durchsucht, um zu ermitteln, ob die Datei in einem Katalog signiert ist. Wenn die Datei in keinem Katalog signiert ist, versucht das Signaturtool, die eingebettete Signatur der Datei zu überprüfen. Diese Option empfiehlt sich bei der Überprüfung von Dateien, die in einem Katalog signiert sein können, aber nicht müssen. Zu den Dateien, die signiert sein können, aber nicht müssen, gehören Windows-Dateien und -Treiber.

/ad

Sucht den Katalog über die Standardkatalogdatenbank.

/as

Sucht den Katalog über die Katalogdatenbank der Systemkomponenten (Treiber).

/ag CatDBGUID

Sucht den Katalog in der von der GUID bezeichneten Katalogdatenbank.

/c CatFile

Gibt die Katalogdatei durch den Namen an.

/o Version

Überprüft die Datei durch die Betriebssystemversion. Die Form des Versionsparameters ist: PlatformID:VerMajor.VerMinor.BuildNumber

/pa

Gibt an, dass die Richtlinie für die Standardauthentifizierungsüberprüfung verwendet wird. Wird die Option /pa nicht angegeben, verwendet das Signaturtool die Richtlinie für die Treiberüberprüfung in Windows. Diese Option kann nicht zusammen mit den catdb-Optionen verwendet werden.

/pg PolicyGUID

Gibt eine Überprüfungsrichtlinie durch GUID an. Die GUID entspricht der ActionID der Überprüfungsrichtlinie. Diese Option kann nicht zusammen mit den catdb-Optionen verwendet werden.

/r RootSubjectName

Gibt den Namen des Betreffs des Stammzertifikats an, mit dem das Signaturzertifikat verkettet werden muss. Dieser Wert kann eine Teilzeichenfolge des gesamten Betreffnamens des Stammzertifikats sein.

/tw

Gibt an, dass eine Warnung generiert wird, wenn die Signatur nicht mit einem Timestamp versehen ist.

Die folgenden Optionen gelten für alle Signaturtoolbefehle.

Globale Option Beschreibung

/q

Keine Ausgabe bei erfolgreicher Ausführung und minimale Ausgabe bei fehlgeschlagener Ausführung.

/v

Ausführliche Ausgabe bei erfolgreicher Ausführung, fehlgeschlagener Ausführung und bei Warnmeldungen.

Hinweise

Für das Signaturtool ist es erforderlich, dass auf dem lokalen Computer die verteilbare Komponente CAPICOM 2.0 installiert ist. Die verteilbare Komponente CAPICOM 2.0 steht unter http://www.microsoft.com/msdownload/platformsdk/sdkupdate/psdkredist.htm zur Verfügung.

Mit dem verify-Befehl des Signaturtools wird ermittelt, ob das Signaturzertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, ob das Signaturzertifikat widerrufen wurde, und optional ob das Signaturzertifikat für eine bestimmte Richtlinie gültig ist.

Bei erfolgreicher Ausführung gibt das Signaturtool einen Exitcode 0 zurück, bei fehlgeschlagener Ausführung 1 und bei abgeschlossener Ausführung mit Warnungen 2.

Beispiele

Mit dem Befehl wird eine Datei mithilfe des besten Zertifikats automatisch signiert.

signtool sign /a MyFile.exe

Siehe auch

Referenz

.NET Framework-Tools
SDK-Eingabeaufforderung