Comment : signer des fichiers d'installation avec SignTool.exe (ClickOnce)

Vous pouvez utiliser SignTool.exe pour signer un programme d'installation (setup.exe).Ce processus aide à garantir qu'aucun fichier falsifié n'est installé sur les ordinateurs des utilisateurs finaux.

Par défaut, ClickOnce dispose de manifestes signés, ainsi que d'un programme d'installation signé.Toutefois, si vous souhaitez modifier ultérieurement les paramètres du programme d'installation, vous devrez également signer le programme d'installation.Si vous modifiez les paramètres après avoir signé le programme d'installation, la signature sera endommagée.

La procédure suivante génère des manifestes non signés ainsi qu'un programme d'installation non signé.La signature ClickOnce est ensuite activée dans Visual Studio afin de générer des manifestes signés.Le programme d'installation n'est pas signé afin que les clients puissent signer l'exécutable avec leurs propres certificats.

Pour générer un programme d'installation non signé et le signer ultérieurement

  1. Sur l'ordinateur de développement, installez le certificat avec lequel vous souhaitez signer les manifestes.

  2. Sélectionnez le projet dans l'Explorateur de solutions.

  3. Dans le menu Projet, cliquez sur Propriétés de NomProjet.

  4. Sur la page Signature, désactivez Signer les manifestes ClickOnce.

  5. Sur la page Publier, cliquez sur Composants requis.

  6. Vérifiez que tous les composants requis sont sélectionnés, puis cliquez sur OK.

  7. Sur la page Publier, vérifiez les paramètres de publication, puis cliquez sur Publier maintenant.

    La solution publie le manifeste d'application non signé, le manifeste de déploiement non signé, les fichiers spécifiques à la version et le programme d'installation non signé sur l'emplacement du dossier de publication.

  8. Sur la page Publier, cliquez sur Composants requis.

  9. Dans la boîte de dialogue Composants requis, désactivez Créer un programme d'installation des composants requis.

  10. Sur la page Publier, vérifiez les paramètres de publication, puis cliquez sur Publier maintenant.

    La solution publie le manifeste d'application signé, le manifeste de déploiement signé et les fichiers spécifiques à la version sur l'emplacement du dossier de publication.Le programme d'installation non signé n'est pas remplacé par le processus de publication.

  11. Sur le site du client, ouvrez une invite de commandes.

  12. Accédez au répertoire qui contient le fichier .exe.

  13. Signez le fichier .exe avec la commande suivante :

    signtool sign /sha1 CertificateHash Setup.exe
    signtool sign /f CertFileName Setup.exe
    

    Par exemple, pour signer le programme d'installation, utilisez l'une des commandes suivantes :

    signtool sign /sha1 CCB... Setup.exe
    signtool sign /f CertFileName Setup.exe
    

Voir aussi

Tâches

Comment : signer de nouveau des manifestes d'application et de déploiement

Autres ressources

Comment : signer des fichiers d'installation avec SignTool.exe (Windows Installer)