SignTool

SignTool은 파일에 디지털 서명하고, 파일의 서명을 확인하고, 타임스탬프 파일을 확인하는 명령줄 도구입니다. 서명 파일이 중요한 이유에 대한 자세한 내용은 코드 서명 소개를 참조하세요. 이 도구는 Microsoft Windows SDK(소프트웨어 개발 키트) 설치 경로의 \Bin 폴더에 설치됩니다(예: C:\Program Files (x86)\Windows Kits\10\bin\10.0.19041.0\x64\signtool.exe).

SignTool은 다운로드할 수 있는 Windows SDK의 일부로 사용할 수 있습니다https://developer.microsoft.com/windows/downloads/windows-10-sdk/.

참고

Windows 10 SDK, Windows 10 HLK, Windows 10 WDK, Windows 10 ADK 빌드 20236 이상에서는 다이제스트 알고리즘을 지정해야 합니다. SignTool sign 명령을 사용하려면 /fd 서명 및 타임스탬핑 중에 각각 파일 다이제스트 알고리즘/td타임스탬프 다이제스트 알고리즘 옵션을 지정해야 합니다. 서명 중에 /fd가 지정되지 않고 타임 스탬프 처리 중에 /td가 지정되지 않으면 경고(처음에는 오류 코드 0)가 throw됩니다. 이후 버전의 SignTool에서는 경고가 오류가 됩니다. SHA256이 권장되며, 업계에서는 SHA1보다 안전한 것으로 간주됩니다.

구문

signtool [command] [options] [file_name | ...]  

매개 변수

인수 설명
command 파일에서 수행할 연산을 지정하는 명령 4개(catdb, sign, Timestamp 또는 Verify) 중 하나입니다. 각 명령의 설명에 대해서는 다음 표를 참조하세요.
options 명령을 수정하는 옵션입니다. 전역 /q/v 옵션 이외에도 각 명령은 고유한 옵션 집합을 지원합니다.
file_name 서명할 파일 경로입니다.

다음 명령은 SignTool에서 지원됩니다.

명령 설명
Catdb 카탈로그 데이터베이스에서 카탈로그 파일을 추가하거나 제거합니다. 카탈로그 데이터베이스는 카탈로그 파일의 자동 조회에 사용되며 GUID를 통해 식별됩니다. catdb 명령에서 지원하는 옵션 목록은 catdb 명령 옵션을 참조하세요.
Sign 파일에 디지털 서명을 수행합니다. 디지털 서명은 파일 조작으로부터 보호하고 사용자가 서명 인증서를 기반으로 서명자를 확인할 수 있습니다. sign 명령에서 지원하는 옵션 목록은 sign 명령 옵션을 참조하세요.
Timestamp 파일에 타임스탬프를 기록합니다. TimeStamp 명령에서 지원하는 옵션 목록은 TimeStamp 명령 옵션을 참조하세요.
Verify 파일의 디지털 서명을 검사하여 신뢰할 수 있는 기관에서 발행한 서명 인증서인지, 해당 서명 인증서가 취소되었는지, 아니면 서명 인증서가 특정 정책에 대해 유효한지를 선택적으로 확인합니다. Verify 명령에서 지원하는 옵션 목록은 Verify 명령 옵션을 참조하세요.

다음 옵션은 모든 서명 도구 명령에 적용됩니다.

전역 옵션 설명
/q 명령이 성공적으로 실행되는 경우 출력을 표시하지 않고, 명령이 실패하는 경우 최소 출력을 표시합니다.
/v 명령이 성공적으로 실행되는지 또는 실패하는지 여부와 상관없이 자세한 정보 출력을 표시하고 경고 메시지를 표시합니다.
/debug 디버깅 정보를 표시합니다.

 

Catdb 명령 옵션

다음 표에는 Catdb 명령에 사용할 수 있는 옵션이 나열되어 있습니다.

Catdb 옵션 설명
/d 기본 카탈로그 데이터베이스를 업데이트할 것을 지정합니다. /d/g 옵션을 모두 사용하지 않는 경우 SignTool은 시스템 구성 요소 및 드라이버 데이터베이스를 업데이트합니다.
/gGUID GUID로 식별된 카탈로그 데이터베이스를 업데이트할 것을 지정합니다.
/r 카탈로그 데이터베이스에서 지정된 카탈로그를 제거합니다. 이 옵션을 지정하지 않으면 SignTool은 카탈로그 데이터베이스에 지정된 카탈로그를 추가합니다.
/u 추가된 카탈로그 파일에 대해 고유한 이름이 자동으로 생성되도록 지정합니다. 필요한 경우 기존 카탈로그 파일과의 이름 충돌을 방지하기 위해 카탈로그 파일의 이름을 바꿉니다. 이 옵션을 지정하지 않으면 SignTool은 추가되는 카탈로그와 이름이 같은 기존 카탈로그를 덮어씁니다.

참고

카탈로그 데이터베이스는 카탈로그 파일의 자동 조회에 사용됩니다.

Sign 명령 옵션

다음 표에는 sign 명령에 사용할 수 있는 옵션이 나열되어 있습니다.

Sign 명령 옵션 설명
/a 가장 적합한 서명 인증서를 자동으로 선택합니다. 서명 도구는 지정한 모든 조건을 만족하는 유효한 모든 인증서를 찾아서 최대 시간 동안 유효한 인증서를 선택합니다. 이 옵션이 없으면 서명 도구는 유효한 서명 인증서를 하나만 찾게 됩니다.
/ac파일 file의 추가 인증서를 시그니처 블록에 추가합니다.
/as 이 서명을 추가합니다. 주 서명이 없으면, 이 서명이 기본 서명을 대체합니다.
/cCertTemplateName 서명 인증서의 인증서 템플릿 이름(Microsoft 확장명)을 지정합니다.
/cspCSPName 프라이빗 키 컨테이너를 포함하는 CSP(암호화 서비스 공급자)를 지정합니다.
/dDesc 서명된 콘텐츠에 대한 설명을 지정합니다.
/dg경로 서명할 다이제스트와 서명되지 않은 PKCS7 파일을 생성합니다. 출력 다이제스트 및 PKCS7 파일은 Path\FileName.digPath\FileName.p7u입니다. 추가 XML 파일을 출력하려면 /dxml을 참조하세요.
/di경로 서명되지 않은 PKCS7 파일에 서명된 다이제스트를 수집하여 서명을 만듭니다. 입력 서명된 다이제스트 및 서명되지 않은 PKCS7 파일은 Path\FileName.dig.signedPath\FileName.p7u여야 합니다.
/dlibDLL 다이제스트에 서명할 함수를 AuthenticodeDigestSign 구현하는 DLL을 지정합니다. 이 옵션은 /dg, /ds/di 스위치와 함께 SignTool 별도로 사용하는 것과 같습니다. 단, 이 옵션은 세 가지 모두를 하나의 원자성 연산으로 호출합니다.
/dmdf파일 /dg 옵션과 함께 사용하면 수정 없이 파일의 내용을 함수에 AuthenticodeDigestSign 전달합니다.
/ds 다이제스트에만 서명합니다. 입력 파일은 /dg 옵션에 의해 생성된 다이제스트여야 합니다. 출력 파일은 File.signed입니다.
/duURL 서명한 콘텐츠의 부연 설명에 대한 URL(Uniform Resource Locator)을 지정합니다.
/dxml /dg 옵션과 함께 사용하면 XML 파일이 생성됩니다. 출력 파일은 Path\FileName.dig.xml.
/fSignCertFile 파일에 있는 서명 인증서를 지정합니다. 파일이 PFX(개인 정보 교환) 형식이면서 암호로 보호되는 경우, /p 옵션을 사용하여 암호를 지정합니다. 파일에 프라이빗 키가 없으면 /csp/kc 옵션을 사용하여 CSP 및 프라이빗 키 컨테이너 이름을 지정합니다.
/fdAlg 파일 서명을 만드는 데 사용할 파일 다이제스트 알고리즘을 지정합니다.
참고: 서명하는 동안 /fd 스위치가 제공되지 않으면 오류가 생성됩니다.
/fdcertHash 문자열 certHash를 지정하면 서명 인증서에 사용되는 알고리즘이 기본값으로 설정됩니다.
참고: 서명하는 동안 /fd 스위치가 제공되지 않으면 오류가 생성됩니다.
/iIssuerName 서명 인증서의 발급자 이름을 지정합니다. 이 값은 발급자의 전체 이름에서 부분 문자열이 될 수 있습니다.
/kcPrivKeyContainerName 프라이빗 키 컨테이너 이름을 지정합니다.
/nSubjectName 서명 인증서의 주체 이름을 지정합니다. 이 값은 주체의 전체 이름에서 부분 문자열이 될 수 있습니다.
/nph 지원되는 경우 실행 파일에 대한 페이지 해시를 억제합니다. 기본값은 SIGNTOOL_PAGE_HASHES 환경 변수 및 wintrust.dll 버전에 의해 결정됩니다. PE 파일이 아닌 경우 이 옵션이 무시됩니다.
/p암호 PFX 파일을 열 때 사용할 암호를 지정합니다. (/f 옵션을 사용하여 PFX 파일을 지정합니다.)
/p7경로 지정된 각 콘텐츠 파일에 대한 PKCS(공개 키 암호화 표준) #7 파일이 생성되도록 지정합니다. PKCS #7 파일의 이름은 path\filename.p7입니다.
/p7ce 서명된 PKCS #7 콘텐츠에 대한 옵션을 지정합니다. 서명된 콘텐츠를 PKCS #7 파일에 포함하려면 Value를 "Embedded"로 설정하고, 분리된 PKCS #7 파일의 서명된 데이터 부분을 생성하려면 "DetachedSignedData"로 설정합니다. /p7ce 옵션을 사용하지 않을 경우 서명된 내용이 기본으로 포함됩니다.
/p7co<OID> 서명된 PKCS #7 콘텐츠를 식별하는 OID(개체 식별자)를 지정합니다.
/ph 지원되지 않는 경우 실행 파일에 대한 페이지 해시를 생성합니다.
/rRootSubjectName 서명 인증서와 연결해야 하는 루트 인증서의 주체 이름을 지정합니다. 이 값은 루트 인증서 주체의 전체 이름에서 부분 문자열이 될 수 있습니다.
/sStoreName 인증서를 검색할 때 열 저장소를 지정합니다. 이 옵션을 지정하지 않으면 My 저장소가 열립니다.
/sha1해시 서명 인증서의 SHA1 해시를 지정합니다. 남은 스위치가 지정한 기준을 여러 인증서가 충족시키는 경우 SHA1 해시는 일반적으로 지정됩니다.
/sm 사용자 저장소 대신 컴퓨터 저장소가 사용되도록 지정합니다.
/tURL 타임스탬프 서버의 URL을 지정합니다. 이 옵션(또는 /tr)이 없으면 서명 파일에 타임스탬프가 기록되지 않습니다. 타임스탬프 기록에 실패하면 경고가 생성됩니다. 이 옵션은 /tr 옵션과 함께 사용할 수 없습니다.
/tdAlg /tr 옵션을 사용하여 RFC 3161 타임스탬프 서버에서 사용하는 다이제스트 알고리즘을 요청합니다.
참고: 타임스탬핑하는 동안 /td를 제공하지 않으면 오류가 생성됩니다.
/trURL RFC 3161 타임스탬프 서버의 URL을 지정합니다. 이 옵션(또는 /t)이 없으면 서명 파일에 타임스탬프가 기록되지 않습니다. 타임스탬프 기록에 실패하면 경고가 생성됩니다. 이 옵션은 /t 옵션과 함께 사용할 수 없습니다.
/u사용 EKU(확장된 키 사용)가 서명 인증서에 있도록 지정합니다. 용도 값은 OID 또는 문자열로 지정될 수 있습니다. 기본 용도는 "코드 서명"(1.3.6.1.5.5.7.3.3)입니다.
/uw "Windows 시스템 구성 요소 확인"의 사용을 지정합니다(1.3.6.1.4.1.311.10.3.6).

사용 예제는 SignTool을 사용하여 파일에 서명을 참조하세요.

TimeStamp 명령 옵션

다음 표에는 TimeStamp 명령에 사용할 수 있는 옵션이 나열되어 있습니다.

TimeStamp 옵션 설명
/p7 파일에 PKCS #7 타임스탬프를 기록합니다.
/tURL 타임스탬프 서버의 URL을 지정합니다. 타임스탬프가 기록되는 파일은 이전에 서명되었어야 합니다. /t 또는 /tr 옵션이 필요합니다.
/tdAlg /tr 옵션을 사용하여 RFC 3161 타임스탬프 서버에서 사용하는 다이제스트 알고리즘을 요청합니다.
참고: 타임스탬핑하는 동안 /td를 제공하지 않으면 오류가 생성됩니다.
/tp인덱스 index에서 시그니처에 타임스탬프를 지정합니다.
/trURL RFC 3161 타임스탬프 서버의 URL을 지정합니다. 타임스탬프가 기록되는 파일은 이전에 서명되었어야 합니다. /tr 또는 /t 옵션이 필요합니다.

명령 옵션 확인

옵션 확인 설명
/a 모든 메서드를 사용하여 파일을 확인할 수 있도록 지정합니다. 먼저 카탈로그 데이터베이스를 검색하여 카탈로그에서 파일이 서명되었는지 여부를 확인합니다. 파일이 카탈로그에 로그인되지 않은 경우 SignTool은 파일의 포함된 서명을 확인하려고 시도합니다. 이 옵션은 카탈로그에서 서명되거나 서명되지 않은 파일을 확인할 때 권장됩니다. 서명되거나 서명되지 않을 수 있는 파일의 예로는 Windows 파일 또는 드라이버가 포함됩니다.
/ad 기본 카탈로그 데이터베이스를 사용하여 카탈로그를 찾습니다.
/all 여러 서명이 있는 파일의 모든 서명을 확인합니다.
/as 시스템 구성 요소(드라이버) 카탈로그 데이터베이스를 사용하여 해당 카탈로그를 찾습니다.
/agCatDBGUID GUID로 식별된 카탈로그 데이터베이스에서 카탈로그를 찾습니다.
/cCatFile 이름별로 카탈로그 파일을 지정합니다.
/d 설명 및 설명 URL을 인쇄합니다.
Windows Vista 및 이전 버전: 이 플래그는 지원되지 않습니다.
/dsIndex 특정 위치에서 서명을 확인합니다.
/hash{SHA1SHA256|} 카탈로그에서 파일을 검색할 때 사용할 선택적 해시 알고리즘을 지정합니다.
/kp x64 커널 모드 드라이버 서명 정책을 사용하여 확인을 수행합니다.
/ms 여러 확인 의미 체계를 사용합니다. WinVerifyTrust 호출의 기본 동작입니다.
/oVersion 운영 체제 버전별로 파일을 확인합니다. 버전 매개 변수는 다음과 같은 형식입니다.
PlatformID**:VerMajor. VerMinor.**BuildNumber
/o 스위치를 사용하는 것이 좋습니다. /o를 지정하지 않으면 SignTool이 예기치 않은 결과를 반환할 수 있습니다. 예를 들어 /o 스위치를 포함하지 않으면 이전 OS에서 올바르게 유효성을 검사하는 시스템 카탈로그가 최신 OS에서 올바르게 유효성을 검사하지 못할 수 있습니다.
/p7 PKCS #7 파일을 확인합니다. PKCS #7 유효성 검사에 기존 정책이 사용되지 않습니다. 서명이 확인되고 서명 인증서에 대한 체인이 빌드됩니다.
/pa 기본 인증 확인 정책이 사용되도록 지정합니다. /pa 옵션을 지정하지 않으면 SignTool은 Windows 드라이버 확인 정책을 사용합니다. 이 옵션은 catdb 옵션과 함께 사용할 수 없습니다.
/pgPolicyGUID GUID로 확인 정책을 지정합니다. GUID는 확인 정책의 ActionID에 해당합니다. 이 옵션은 catdb 옵션과 함께 사용할 수 없습니다.
/ph 페이지 해시 값을 인쇄하고 확인합니다.
Windows Vista 및 이전 버전: 이 플래그는 지원되지 않습니다.
/rRootSubjectName 서명 인증서와 연결해야 하는 루트 인증서의 주체 이름을 지정합니다. 이 값은 루트 인증서 주체의 전체 이름에서 부분 문자열이 될 수 있습니다.
/tw 서명에 타임스탬프를 지정하지 않으면 경고가 생성되도록 지정합니다.

SignTool verify 명령은 신뢰할 수 있는 기관에서 서명 인증서를 발급했는지 여부, 서명 인증서가 해지되었는지 여부 및 필요에 따라 서명 인증서가 특정 정책에 유효한지 여부를 결정합니다.

카탈로그(/a, /ad, /as, /ag, /c)를 검색하는 옵션을 지정하지 않는 한 SignTool verify 명령은 포함된 서명 상태를 출력합니다.

반환 값

서명 도구는 종료할 때 다음 종료 코드 중 하나를 반환합니다.

종료 코드 설명
0 실행이 완료되었습니다.
1 실행하지 못했습니다.
2 실행이 경고와 함께 완료되었습니다.

다음 명령은 카탈로그 파일 MyCatalogFileName.cat를 시스템 구성 요소와 드라이버 데이터베이스에 추가합니다. /u 옵션은 MyCatalogFileName.cat라는 기존 카탈로그 파일이 바뀌지 않도록 해야 하는 경우 고유 이름을 생성합니다.

signtool catdb /v /u MyCatalogFileName.cat  

다음 명령은 가장 적합한 인증서를 사용하여 파일에 자동으로 서명합니다.

signtool sign /a /fd SHA256 MyFile.exe 

다음 명령은 암호로 보호된 PFX 파일에 저장된 인증서를 사용하여 파일에 디지털 서명을 합니다.

signtool sign /f MyCert.pfx /p MyPassword /fd SHA256 MyFile.exe 

다음 명령은 파일에 디지털 서명을 하고 타임스탬프를 기록합니다. 파일에 서명하는 데 사용할 인증서는 PFX 파일로 저장됩니다.

signtool sign /f MyCert.pfx /t http://timestamp.digicert.com /fd SHA256 MyFile.exe 

다음 명령은 My의 주체 이름이 있는 My Company Certificate 저장소에 위치한 인증서를 사용하여 파일에 서명합니다.

signtool sign /n "My Company Certificate" /fd SHA256 MyFile.exe 

다음 명령은 ActiveX 컨트롤에 서명하고 컨트롤을 설치하도록 사용자에게 메시지가 표시될 때 Internet Explorer에 표시되는 정보를 제공합니다.

Signtool sign /f MyCert.pfx /d: "MyControl" /du http://www.example.com/MyControl/info.html /fd SHA256 MyControl.exe 

다음 명령은 이미 디지털 서명된 파일에 타임스탬프를 기록합니다.

signtool timestamp /t http://timestamp.digicert.com MyFile.exe

다음 명령은 RFC 3161 타임스탬프 서버를 사용하여 파일을 타임스탬프 처리합니다.

signtool timestamp /tr http://timestamp.digicert.com /td SHA256 MyFile.exe

다음 명령은 파일이 서명되었는지를 확인합니다.

signtool verify MyFile.exe  

다음 명령은 카탈로그에서 서명될 수 있는 시스템 파일을 확인합니다.

signtool verify /a SystemFile.dll  

다음 명령은 MyCatalog.cat라는 카탈로그에서 서명된 시스템 파일을 확인합니다.

signtool verify /c MyCatalog.cat SystemFile.dll