Diese Dokumentation wurde archiviert und wird nicht länger gepflegt.

Signaturtool (SignTool.exe)

Aktualisiert: November 2007

Das Signaturtool ist ein Befehlszeilentool, das Dateien digital signiert, Signaturen in Dateien überprüft und Dateien Timestamps hinzufügt.

8s9b9yaz.alert_note(de-de,VS.90).gifHinweis:

Das Signaturtool wird nicht von Microsoft Windows-NT, Windows Me, Windows 98 oder Windows 95 unterstützt.


signtool [command] [options] [file_name | ...]

Argument

Beschreibung

command

Eines der Befehlsflags, das einen Vorgang angibt, der für eine Datei ausgeführt werden soll.

options

Eines der Optionsflags, das ein Befehlsflag ändert.

file_name

Der Pfad zu einer zu signierenden Datei.

Die folgenden Befehle werden vom Signaturtool unterstützt.

Befehl

Beschreibung

catdb

Fügt einer Katalogdatenbank eine Katalogdatei hinzu oder entfernt sie daraus.

sign

Signiert Dateien digital.

signwizard

Startet den Signatur-Assistenten. Nur eine einzelne Datei kann für das Befehlszeilenargument des Dateinamens angegeben werden.

timestamp

Fügt Dateien Timestamps hinzu.

verify

Überprüft die digitale Signatur von Dateien.

Die folgenden Optionen gelten für den catdb-Befehl.

Catdb-Option

Beschreibung

/d

Gibt an, dass die Standardkatalogdatenbank aktualisiert wird. Wenn weder die Option /d,noch die Option /g verwendet wird, aktualisiert das Signaturtool die Systemkomponente und die Treiberdatenbank.

/g GUID

Gibt an, dass die durch die GUID (Globally Unique Identifier) bezeichnete Katalogdatenbank aktualisiert wird.

/r

Entfernt den angegebenen Katalog aus der Katalogdatenbank. Wenn diese Option nicht angegeben wird, fügt das Signaturtool der Katalogdatenbank den angegebenen Katalog hinzu.

/u

Gibt an, dass ein eindeutiger Name für die hinzugefügten Katalogdateien automatisch generiert wird. Gegebenenfalls werden die Katalogdateien umbenannt, um Namenskonflikte mit vorhandenen Katalogdateien zu verhindern. Wird diese Option nicht angegeben, überschreibt das Signaturtool jeden vorhandenen, gleichnamigen Katalog mit dem hinzuzufügenden Katalog.

8s9b9yaz.alert_note(de-de,VS.90).gifHinweis:

 Katalogdatenbanken werden zur automatischen Suche von Katalogdateien verwendet.

Die folgenden Optionen gelten für densign-Befehl.

Sign-Option

Beschreibung

/a

Wählt automatisch das beste Signaturzertifikat aus. Wenn diese Option nicht vorhanden ist, erwartet das Signaturtool nur ein gültiges Signaturzertifikat.

/c CertTemplateName

Gibt den Zertifikatsvorlagennamen (eine Microsoft-Erweiterung) für das Signaturzertifikat an.

/csp CSPName

Gibt den Kryptografiedienstanbieter (CSP) an, der den private Schlüsselcontainer enthält.

/d Desc

Gibt eine Beschreibung des signierten Inhalts an.

/du URL

Gibt einen Uniform Resource Locator (URL) für die erweiterte Beschreibung des Inhalts mit Vorzeichen an.

/f SignCertFile

Gibt das Signaturzertifikat in einer Datei an. Wenn es sich um eine PFX-Datei (Personal Information Exchange) handelt, die mit einem Kennwort gesichert ist, verwenden Sie zur Angabe des Kennworts die Option /p. Wenn die Datei keine privaten Schlüssel enthält, verwenden Sie die Optionen /csp und die /k, um den CSP-Namen bzw. den Namen des privaten Schlüsselcontainers anzugeben.

/i IssuerName

Gibt den Namen des Ausstellers des Signaturzertifikats an. Dieser Wert kann eine Teilzeichenfolge des gesamten Ausstellernamens sein.

/k PrivKeyContainerName

Gibt den Namen des privaten Schlüsselcontainers an.

/n SubjectName

Gibt den Namen des Betreffs des Signaturzertifikats an. Dieser Wert kann eine Teilzeichenfolge des gesamten Betreffnamens sein.

/p Password

Gibt das beim Öffnen einer PFX-Datei zu verwendende Kennwort an. Eine PFX-Datei kann mithilfe der Option /f festgelegt werden.

/r RootSubjectName

Gibt den Namen des Betreffs des Stammzertifikats an, mit dem das Signaturzertifikat verkettet werden muss. Dieser Wert kann eine Teilzeichenfolge des gesamten Betreffnamens des Stammzertifikats sein.

/s StoreName

Gibt beim Suchen nach dem Zertifikat den zu öffnenden Speicher an. Wird diese Option nicht angegeben, wird der persönliche Speicher geöffnet.

/sha1 Hash

Gibt den SHA1-Hash des Signaturzertifikats an.

/sm

Gibt an, dass statt eines Benutzerspeichers ein Computerspeicher verwendet wird.

/t URL

Gibt den URL des Timestampservers an. Wenn diese Option nicht vorhanden ist, wird der signierten Datei kein Timestamp hinzugefügt. Schlägt das Hinzufügen des Timestamps fehl, wird eine Warnung generiert.

/u Verwendung

Gibt die verbesserte Schlüsselverwendung (EKU) an, die im Signaturzertifikat vorhanden sein muss. Der Verwendungswert kann durch OID oder eine Zeichenfolge angegeben werden. Die Standardverwendung ist "Codesignatur" (1.3.6.1.5.5.7.3.3).

Die folgende Option gilt für dentimestamp-Befehl.

Timestamp-Option

Beschreibung

/t URL

Erforderlich. Gibt den URL des Timestampservers an. Die mit einem Timestamp zu versehende Datei muss zuvor signiert worden sein.

Die folgenden Optionen gelten für den verify-Befehl.

Sign-Option

Beschreibung

/a

Gibt an, dass alle Methoden zum Überprüfen der Datei verwendet werden können. Zuerst werden die Katalogdatenbanken durchsucht, um zu ermitteln, ob die Datei in einem Katalog signiert ist. Wenn die Datei in keinem Katalog signiert ist, versucht das Signaturtool, die eingebettete Signatur der Datei zu überprüfen. Diese Option empfiehlt sich bei der Überprüfung von Dateien, die in einem Katalog signiert sein können, aber nicht müssen. Zu den Dateien, die signiert sein können, aber nicht müssen, gehören Windows-Dateien und -Treiber.

/ad

Sucht den Katalog über die Standardkatalogdatenbank.

/as

Sucht den Katalog über die Katalogdatenbank der Systemkomponenten (Treiber).

/ag CatDBGUID

Sucht den Katalog in der von derGUID bezeichneten Katalogdatenbank.

/c CatFile

Gibt die Katalogdatei durch den Namen an.

/o Version

Überprüft die Datei durch die Betriebssystemversion. Die Form des Versionsparameters ist: PlatformID:VerMajor.VerMinor.BuildNumber

/pa

Gibt an, dass die Richtlinie für die Standardauthentifizierungsüberprüfung verwendet wird. Wird die Option /pa nicht angegeben, verwendet das Signaturtool die Richtlinie für die Treiberüberprüfung in Windows. Diese Option kann nicht zusammen mit den catdb-Optionen verwendet werden.

/pg PolicyGUID

Gibt eine Überprüfungsrichtlinie durch GUID an. Die GUID entspricht der ActionID der Überprüfungsrichtlinie. Diese Option kann nicht zusammen mit den catdb-Optionen verwendet werden.

/r RootSubjectName

Gibt den Namen des Betreffs des Stammzertifikats an, mit dem das Signaturzertifikat verkettet werden muss. Dieser Wert kann eine Teilzeichenfolge des gesamten Betreffnamens des Stammzertifikats sein.

/tw

Gibt an, dass eine Warnung generiert wird, wenn die Signatur nicht mit einem Timestamp versehen ist.

Die folgenden Optionen gelten für alle Signaturtoolbefehle.

Globale Option

Beschreibung

/q

Keine Ausgabe bei erfolgreicher Ausführung und minimale Ausgabe bei fehlgeschlagener Ausführung.

/v

Ausführliche Ausgabe bei erfolgreicher Ausführung, fehlgeschlagener Ausführung und bei Warnmeldungen.

Für das Signaturtool ist es erforderlich, dass auf dem lokalen Computer die verteilbare Komponente CAPICOM 2.0 installiert ist. Die verteilbare Komponente CAPICOM 2.0 steht unter http://www.microsoft.com/msdownload/platformsdk/sdkupdate/psdkredist.htm zur Verfügung.

Mit dem verify-Befehl des Signaturtools wird ermittelt, ob das Signaturzertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, ob das Signaturzertifikat widerrufen wurde, und optional ob das Signaturzertifikat für eine bestimmte Richtlinie gültig ist.

Bei erfolgreicher Ausführung gibt das Signaturtool einen Exitcode 0 zurück, bei fehlgeschlagener Ausführung 1 und bei abgeschlossener Ausführung mit Warnungen 2.

Mit dem Befehl wird eine Datei mithilfe des besten Zertifikats automatisch signiert.

signtool sign /a MyFile.exe
Anzeigen: