Signature, outil (SignTool.exe)
Mise à jour : novembre 2007
L'outil Signature est un utilitaire en ligne de commande qui signe numériquement les fichiers, vérifie les signatures dans les fichiers ou horodate les fichiers.
.gif "Remarque") Remarque : |
|---|
L'outil Signature n'est pas pris en charge sur Microsoft Windows NT, Windows Millenium Edition, Windows 98 ou Windows 95. |
signtool [command] [options] [file_name | ...]
Paramètres
Argument |
Description |
|---|---|
command |
Un des indicateurs de commande qui spécifie une opération à exécuter sur un fichier. |
options |
Un des indicateurs d'option qui modifie un indicateur de commande. |
file_name |
Le chemin d'accès à un fichier à signer. |
Les commandes suivantes sont prises en charge par l'outil Signature.
Commande |
Description |
|---|---|
catdb |
Ajoute ou supprime un fichier catalogue dans une base de données de catalogue. |
sign |
Signe numériquement les fichiers. |
signwizard |
Lance l'Assistant de signature. Seul un fichier unique peut être spécifié pour l'argument de ligne de commande de nom de fichier. |
timestamp |
Insère un horodatage dans les fichiers. |
verify |
Vérifie la signature numérique des fichiers. |
Les options suivantes s'appliquent à la commande catdb.
Option Catdb |
Description |
|---|---|
/d |
Spécifie que la base de données de catalogue par défaut est mise à jour. Si les options /det /g ne sont pas utilisées, l'outil Signature met à jour le composant système et la base de données des pilotes. |
/g GUID |
Spécifie que la base de données de catalogue identifiée par l'identificateur global unique (GUID, Globally Unique Identifier) est mise à jour. |
/r |
Supprime le catalogue spécifié de la base de données de catalogue. Si cette option n'est pas spécifiée, l'outil Signature ajoute le catalogue spécifié à la base de données de catalogue. |
/u |
Spécifie qu'un nom unique est généré automatiquement pour les fichiers catalogue ajoutés. Si nécessaire, les fichiers catalogue seront renommés pour empêcher des conflits de nom avec les fichiers catalogue existants. Si cette option n'est pas spécifiée, l'outil Signature remplace tout catalogue existant qui a le même nom que le catalogue ajouté. |
| Remarque : |
|---|
Les bases de données de catalogue sont utilisées pour la recherche automatique de fichiers catalogue. |
Les options suivantes s'appliquent à la commandesign.
Option Sign |
Description |
|---|---|
/a |
Sélectionne automatiquement le meilleur certificat de signature. Si cette option n'est pas présente, l'outil Signature pense trouver un seul certificat de signature valide. |
/c CertTemplateName |
Spécifie le nom du modèle de certificat (une extension Microsoft) pour le certificat de signature. |
/csp CSPName |
Spécifie le fournisseur de services de chiffrement (CSP) qui contient le conteneur de clé privée. |
/d Desc |
Spécifie une description du contenu signé. |
/du URL |
Spécifie une URL pour la description développée du contenu signé. |
/f SignCertFile |
Spécifie le certificat de signature dans un fichier. Si le fichier est au format Échange d'informations personnelles (PFX, Personal Information Exchange) et protégé par un mot de passe, utilisez l'option /p pour spécifier le mot de passe. Si le fichier ne contient pas de clés privées, utilisez les options /csp et /k pour spécifier le CSP et le nom de conteneur de clé privée, respectivement. |
/i IssuerName |
Spécifie le nom de l'émetteur du certificat de signature. Cette valeur peut être une sous-chaîne du nom d'émetteur entier. |
/k PrivKeyContainerName |
Spécifie le nom du conteneur de clé privée. |
/n SubjectName |
Spécifie le nom du sujet du certificat de signature. Cette valeur peut être une sous-chaîne du nom du sujet entier. |
/p Password |
Spécifie le mot de passe à utiliser lors de l'ouverture d'un fichier PFX. Un fichier PFX peut être spécifié à l'aide de l'option /f. |
/r RootSubjectName |
Spécifie le nom du sujet du certificat racine auquel le certificat de signature doit effectuer un chaînage. Cette valeur peut être une sous-chaîne du nom du sujet entier du certificat racine. |
/s StoreName |
Spécifie le magasin à ouvrir lors de la recherche du certificat. Si cette option n'est pas spécifiée, le magasin My store est ouvert. |
/sha1 Hachage |
Spécifie le hachage SHA1 du certificat de signature. |
/sm |
Spécifie qu'un magasin d'informatique, au lieu d'un magasin utilisateurs, est utilisé. |
/t URL |
Spécifie l'URL du serveur d'horodatage. Si cette option n'est pas présente, le fichier signé ne sera pas horodaté. Un avertissement est généré si l'horodatage échoue. |
/u Usage |
Spécifie l'utilisation améliorée de la clé (EKU, Enhanced Key Usage) qui doit être présente dans le certificat de signature. La valeur d'utilisation peut être spécifiée par un OID ou une chaîne. L'utilisation par défaut est « Signature du code » (1.3.6.1.5.5.7.3.3). |
Les options suivantes s'appliquent à la commandetimestamp.
Option Timestamp |
Description |
|---|---|
/t URL |
Obligatoire. Spécifie l'URL du serveur d'horodatage. Le fichier qui est horodaté doit avoir été précédemment signé. |
Les options suivantes s'appliquent à la commande verify.
Option Sign
Description
/a
Spécifie que toutes les méthodes peuvent être utilisées pour vérifier le fichier. En premier lieu, une recherche est effectuée dans les bases de données de catalogue pour déterminer si le fichier est signé dans un catalogue. Si le fichier n'est signé dans aucun catalogue, l'outil Signature tente de vérifier la signature incorporée du fichier. Cette option est recommandée lors de la vérification de fichiers qui peuvent être ou non signés dans un catalogue. Les exemples de fichiers qui peuvent être ou non signés incluent des fichiers ou des pilotes Windows.
/ad
Recherche le catalogue à l'aide de la base de données de catalogue par défaut.
/as
Recherche le catalogue à l'aide de la base de données du catalogue du composant système (pilote).
/ag CatDBGUID
Recherche le catalogue dans la base de données de catalogue identifiée par leGUID.
/c CatFile
Spécifie le fichier catalogue par nom.
/o Version
Vérifie le fichier par version du système d'exploitation. Le paramètre de version a le format suivant : PlatformID:VerMajor.VerMinor.BuildNumber
/pa
Spécifie que la stratégie de vérification de l'authentification par défaut est utilisée. Si l'option /pa n'est pas spécifiée, l'outil Signature utilise la stratégie de vérification des pilotes Windows. Cette option ne peut pas être utilisée avec les options catdb.
/pg PolicyGUID
Spécifie une stratégie de vérification par GUID. Le GUID correspond à l'ActionID de la stratégie de vérification. Cette option ne peut pas être utilisée avec les options catdb.
/r RootSubjectName
Spécifie le nom du sujet du certificat racine auquel le certificat de signature doit effectuer un chaînage. Cette valeur peut être une sous-chaîne du nom du sujet entier du certificat racine.
/tw
Spécifie qu'un avertissement est généré si la signature n'est pas horodatée.
Les options suivantes s'appliquent à toutes les commandes de l'outil Signature.
Option Global |
Description |
|---|---|
/q |
Aucune sortie en cas d'exécution réussie et sortie minime en cas d'exécution non réussie. |
/v |
Sortie commentée en cas d'exécution réussie, d'exécution non réussie et de messages d'avertissement. |
Notes
L'outil Signature requiert que le CAPICOM 2.0 redistribuable soit installé sur l'ordinateur local. Le CAPICOM 2.0 redistribuable est disponible à l'adresse https://www.microsoft.com/msdownload/platformsdk/sdkupdate/psdkredist.htm.
La commande verify de l'outil Signature détermine si le certificat de signature a été publié par une autorité de confiance, si le certificat de signature a été révoqué et, éventuellement, si le certificat de signature est valide pour une stratégie spécifique.
L'outil Signature retourne le code de sortie zéro pour une exécution réussie, un pour une exécution non réussie et deux pour une exécution qui s'est terminée avec des avertissements.
Exemples
La commande montre comment signer automatiquement un fichier à l'aide du meilleur certificat.
signtool sign /a MyFile.exe