Certificate Verification-Tool (Chktrust.exe)

  • Artikel

Aktualisiert: November 2007

Das Certificate Verification-Tool überprüft die Gültigkeit einer Datei, die mit einem Authenticode-Zertifikat signiert wurde.

Das Certificate Verification-Tool ist nur im Lieferumfang von .NET Framework SDK, Version 1.0 und Version 1.1, enthalten. Verwenden Sie in neueren Versionen stattdessen das Dienstprogramm Signaturtool (SignTool.exe).

chktrust [/q] [/v] signedFile

Parameter

Argument

Beschreibung

signedFile

Die signierte Datei mit der zu überprüfenden Signatur.

Option

Beschreibung

/help

Zeigt die Befehlssyntax und die Optionen für das Tool an.

/q

Verhindert die Anzeige der Benutzeroberfläche mit der Option zum Installieren und Ausführen der signedFile, wenn der Herausgeber nicht bestimmt werden kann.

/v

Gibt den ausführlichen Modus an und zeigt detaillierte Informationen über die Gültigkeit einer signierten Datei an. In der Standardeinstellung wird eine Kurzinformation angezeigt.

/?

Zeigt die Befehlssyntax und die Optionen für das Tool an.

Hinweise

Chktrust.exe überprüft die Gültigkeit einer signierten Datei folgendermaßen:

  1. Extrahieren des mit PKCS7 signierten Datenobjekts aus der Datei.

  2. Extrahieren der X.509-Zertifikate aus dem mit PKCS7 signierten Datenobjekt.

  3. Berechnen eines neuen Hashes der Datei und anschließender Vergleich mit dem signierten Hash im PKCS7-Objekt.

  4. Bei Übereinstimmung der Hashes überprüft Chktrust.exe, ob das X.509-Zertifikat des Signierenden zu einem vertrauenswürdigen Stammzertifikat zurückverfolgt werden kann.

Wenn alle Schritte erfolgreich ausgeführt wurden, wurde die Datei nicht manipuliert und der signierende Anbieter der Datei wurde von der vertrauenswürdigen Stammstelle authentifiziert.

Wenn Sie ein signedFile-Argument angeben, dass über keine gültige Signatur verfügt, ohne dass Sie die Option /q festlegen, zeigt das Tool ein Dialogfeld mit einer Sicherheitswarnung an. In diesem Dialogfeld haben Sie die Möglichkeit, die PE-Datei selbst dann zu installieren und auszuführen, wenn keine Authenticode-Signatur gefunden wurde. Sie sollten Nein auswählen, wenn Sie nicht genügend Informationen über die Software, den Herausgeber oder den Computer haben, um ausschließen zu können, dass die Installation der Datei negative Folgen hat. Wenn Sie auf die Schaltfläche Nein klicken, wird die Datei vom Tool weder ausgeführt noch installiert, und es wird eine Meldung ausgegeben, dass die Überprüfung fehlgeschlagen ist. Wenn Sie auf die Schaltfläche Ja klicken, wird die Datei vom Tool installiert und ausgeführt, und es wird eine Meldung ausgegeben, dass die Überprüfung erfolgreich war.

Weitere Informationen über PKCS7-Objekte und ‑Zertifikate erhalten Sie in der Microsoft Platform SDK-Dokumentation im Abschnitt zu "CryptoAPI".

Beispiel

Mit dem folgenden Befehl wird die Verwendung von Chktrust.exe mit Microsoft Internet Explorer 4.0 oder höher dargestellt.

chktrust MyProgram.exe

Wenn der vorhergehende Befehl erfolgreich ausgeführt wurde, gibt die folgende Ausgabe an, dass die überprüfte Datei über eine gültige Signatur verfügt.

MyProgram.exe: Succeeded

Siehe auch

Referenz

.NET Framework-Tools

SDK-Eingabeaufforderung