憑證驗證工具 (Chktrust.exe)
更新:2007 年 11 月
憑證驗證工具可以檢查含有 Authenticode 憑證簽名之檔案的有效性。
憑證驗證工具僅隨附於 .NET Framework SDK 1.0 版和 1.1 版中。在較新版本中,請改用簽署工具 (signtool.exe) 公用程式。
chktrust [/q] [/v] signedFile
參數
引數 |
描述 |
|---|---|
signedFile |
包含要驗證之簽章的簽章檔。 |
選項 |
描述 |
|---|---|
/help |
顯示工具的命令語法和選項。 |
/q |
當無法判斷發行者 (Publisher) 時,不顯示提供安裝和執行 signedFile 的選項的使用者介面。 |
/v |
指定詳細資訊模式;顯示有關簽章檔有效性的詳細資訊。預設值是顯示簡短的資訊。 |
/? |
顯示工具的命令語法和選項。 |
備註
Chktrust.exe 會執行下列動作來檢查簽章檔的有效性:
從檔案擷取 PKCS #7 簽名資料物件。
從 PKCS #7 簽名資料物件擷取 X.509 憑證。
計算檔案的新雜湊,並將它與 PKCS #7 物件中的簽名雜湊相比較。
如果雜湊相符,Chktrust.exe 會驗證簽名者的 X.509 憑證可以追溯到受信任的根憑證。
如果所有步驟成功完成,檔案尚未被竄改而且已簽章檔案的廠商會被受信任的根授權單位驗證。
請注意,如果您提供一個沒有有效簽章的 signedFile 引數,而沒有指定 /q 選項,這個工具將會顯示 [安全性警告] 對話方塊。這個對話方塊會讓您選擇是否要安裝和執行 PE 檔案,即使找不到 Authenticode 簽章。如果您沒有足夠軟體、發行者或電腦的相關資訊來判斷安裝這個檔案是否會造成負面效果,那麼您應該選擇 [否]。如果您按一下 [否] 按鈕,這個工具就不會執行或安裝檔案,並且會報告檢查已失敗。如果您按一下 [是] 按鈕,這個工具就會安裝並執行檔案,並且報告檢查成功。
如需 PKCS #7 物件和憑證的詳細資訊,請參閱 Microsoft Platform SDK 文件的<About CryptoAPI>章節。
範例
下列命令會顯示如何以 Microsoft Internet Explorer 4.0 (含) 以後版本使用 Chktrust.exe。
chktrust MyProgram.exe
如果上述的命令成功,下列輸出會指示已檢查的檔案擁有有效的簽章。
MyProgram.exe: Succeeded