Signaturtool (SignTool.exe)
Das Signaturtool ist ein Befehlszeilentool, das Dateien digital signiert, Signaturen in Dateien überprüft und Dateien Timestamps hinzufügt.
Hinweis
Das Signaturtool wird nicht von Microsoft Windows-NT, Windows Me, Windows 98 oder Windows 95 unterstützt.
signtool [command] [options] [file_name | ...]
Parameter
| Argument | Beschreibung |
|---|---|
command |
Eines der Befehlsflags, das einen Vorgang angibt, der für eine Datei ausgeführt werden soll. |
options |
Eines der Optionsflags, das ein Befehlsflag ändert. |
file_name |
Der Pfad zu einer zu signierenden Datei. |
Die folgenden Befehle werden vom Signaturtool unterstützt.
| Befehl | Beschreibung |
|---|---|
catdb |
Fügt einer Katalogdatenbank eine Katalogdatei hinzu oder entfernt sie daraus. |
sign |
Signiert Dateien digital. |
signwizard |
Startet den Signatur-Assistenten. Nur eine einzelne Datei kann für das Befehlszeilenargument des Dateinamens angegeben werden. |
timestamp |
Fügt Dateien Timestamps hinzu. |
verify |
Überprüft die digitale Signatur von Dateien. |
Die folgenden Optionen gelten für den **catdb****-Befehl.
| Catdb-Option | Beschreibung |
|---|---|
/d |
Gibt an, dass die Standardkatalogdatenbank aktualisiert wird. Wenn weder die Option /d, noch die Option /g verwendet wird, aktualisiert das Signaturtool die Systemkomponente und die Treiberdatenbank. |
/g GUID |
Gibt an, dass die durch die GUID (Globally Unique Identifier) bezeichnete Katalogdatenbank aktualisiert wird. |
/r |
Entfernt den angegebenen Katalog aus der Katalogdatenbank. Wenn diese Option nicht angegeben wird, fügt das Signaturtool der Katalogdatenbank den angegebenen Katalog hinzu. |
/u |
Gibt an, dass ein eindeutiger Name für die hinzugefügten Katalogdateien automatisch generiert wird. Gegebenenfalls werden die Katalogdateien umbenannt, um Namenskonflikte mit vorhandenen Katalogdateien zu verhindern. Wird diese Option nicht angegeben, überschreibt das Signaturtool jeden vorhandenen, gleichnamigen Katalog mit dem hinzuzufügenden Katalog. |
Hinweis
Katalogdatenbanken werden zur automatischen Suche von Katalogdateien verwendet.
Die folgenden Optionen gelten für den ** **sign****-Befehl.
| Sign-Option | Beschreibung |
|---|---|
/a |
Wählt automatisch das beste Signaturzertifikat aus. Wenn diese Option nicht vorhanden ist, erwartet das Signaturtool nur ein gültiges Signaturzertifikat. |
/c CertTemplateName |
Gibt den Zertifikatsvorlagennamen (eine Microsoft-Erweiterung) für das Signaturzertifikat an. |
/csp CSPName |
Gibt den Kryptografiedienstanbieter (CSP) an, der den privaten Schlüsselcontainer enthält. |
/d Desc |
Gibt eine Beschreibung des signierten Inhalts an. |
/du URL |
Gibt einen URL (Uniform Resource Locator) für die erweiterte Beschreibung des signierten Inhalts an. |
/f SignCertFile |
Gibt das Signaturzertifikat in einer Datei an. Wenn es sich um eine PFX-Datei (Personal Information Exchange) handelt, die mit einem Kennwort gesichert ist, verwenden Sie zur Angabe des Kennworts die Option /p. Wenn die Datei keine privaten Schlüssel enthält, verwenden Sie die Optionen /csp und die /k, um den CSP-Namen bzw. den Namen des privaten Schlüsselcontainers anzugeben. |
/i IssuerName |
Gibt den Namen des Ausstellers des Signaturzertifikats an. Dieser Wert kann eine Teilzeichenfolge des gesamten Ausstellernamens sein. |
/k PrivKeyContainerName |
Gibt den Namen des privaten Schlüsselcontainers an. |
/n SubjectName |
Gibt den Namen des Betreffs des Signaturzertifikats an. Dieser Wert kann eine Teilzeichenfolge des gesamten Betreffnamens sein. |
/p Password |
Gibt das beim Öffnen einer PFX-Datei zu verwendende Kennwort an. Eine PFX-Datei kann mithilfe der Option /f festgelegt werden. |
/r RootSubjectName |
Gibt den Namen des Betreffs des Stammzertifikats an, mit dem das Signaturzertifikat verkettet werden muss. Dieser Wert kann eine Teilzeichenfolge des gesamten Betreffnamens des Stammzertifikats sein. |
/s StoreName |
Gibt beim Suchen nach dem Zertifikat den zu öffnenden Speicher an. Wird diese Option nicht angegeben, wird der persönliche Speicher geöffnet. |
/sha1 Hash |
Gibt den SHA1-Hash des Signaturzertifikats an. |
/sm |
Gibt an, dass statt eines Benutzerspeichers ein Computerspeicher verwendet wird. |
/t URL |
Gibt den URL des Timestampservers an. Wenn diese Option nicht vorhanden ist, wird der signierten Datei kein Timestamp hinzugefügt. Schlägt das Hinzufügen des Timestamps fehl, wird eine Warnung generiert. |
/u Verwendung |
Gibt die EKU (Enhanced Key Usage) an, die im Signaturzertifikat vorhanden sein muss. Der Verwendungswert kann durch OID oder eine Zeichenfolge angegeben werden. Die Standardverwendung ist "Codesignatur" (1.3.6.1.5.5.7.3.3). |
Die folgende Option gilt für den ** timestamp-Befehl.
| Timestamp-Option | Beschreibung |
|---|---|
/t URL |
Erforderlich. Gibt den URL des Timestampservers an. Die mit einem Timestamp zu versehende Datei muss zuvor signiert worden sein. |
Die folgenden Optionen gelten für den verify-Befehl.
| Sign-Option | Beschreibung |
|---|---|
/a |
Gibt an, dass alle Methoden zum Überprüfen der Datei verwendet werden können. Zuerst werden die Katalogdatenbanken durchsucht, um zu ermitteln, ob die Datei in einem Katalog signiert ist. Wenn die Datei in keinem Katalog signiert ist, versucht das Signaturtool, die eingebettete Signatur der Datei zu überprüfen. Diese Option empfiehlt sich bei der Überprüfung von Dateien, die in einem Katalog signiert sein können, aber nicht müssen. Zu den Dateien, die signiert sein können, aber nicht müssen, gehören Windows-Dateien und -Treiber. |
/ad |
Sucht den Katalog über die Standardkatalogdatenbank. |
/as |
Sucht den Katalog über die Katalogdatenbank der Systemkomponenten (Treiber). |
/ag CatDBGUID |
Sucht den Katalog in der von der GUID bezeichneten Katalogdatenbank. |
/c CatFile |
Gibt die Katalogdatei durch den Namen an. |
/o Version |
Überprüft die Datei durch die Betriebssystemversion. Die Form des Versionsparameters ist: PlatformID:VerMajor.VerMinor.BuildNumber |
/pa |
Gibt an, dass die Richtlinie für die Standardauthentifizierungsüberprüfung verwendet wird. Wird die Option /pa nicht angegeben, verwendet das Signaturtool die Richtlinie für die Treiberüberprüfung in Windows. Diese Option kann nicht zusammen mit den catdb-Optionen verwendet werden. |
/pg PolicyGUID |
Gibt eine Überprüfungsrichtlinie durch GUID an. Die GUID entspricht der ActionID der Überprüfungsrichtlinie. Diese Option kann nicht zusammen mit den catdb-Optionen verwendet werden. |
/r RootSubjectName |
Gibt den Namen des Betreffs des Stammzertifikats an, mit dem das Signaturzertifikat verkettet werden muss. Dieser Wert kann eine Teilzeichenfolge des gesamten Betreffnamens des Stammzertifikats sein. |
/tw |
Gibt an, dass eine Warnung generiert wird, wenn die Signatur nicht mit einem Timestamp versehen ist. |
Die folgenden Optionen gelten für alle Signaturtoolbefehle.
| Globale Option | Beschreibung |
|---|---|
/q |
Keine Ausgabe bei erfolgreicher Ausführung und minimale Ausgabe bei fehlgeschlagener Ausführung. |
/v |
Ausführliche Ausgabe bei erfolgreicher Ausführung, fehlgeschlagener Ausführung und bei Warnmeldungen. |
Hinweise
Für das Signaturtool ist es erforderlich, dass auf dem lokalen Computer die verteilbare Komponente CAPICOM 2.0 installiert ist. Die verteilbare Komponente CAPICOM 2.0 steht unter https://www.microsoft.com/msdownload/platformsdk/sdkupdate/psdkredist.htm zur Verfügung.
Mit dem verify-Befehl des Signaturtools wird ermittelt, ob das Signaturzertifikat von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt wurde, ob das Signaturzertifikat widerrufen wurde, und optional ob das Signaturzertifikat für eine bestimmte Richtlinie gültig ist.
Bei erfolgreicher Ausführung gibt das Signaturtool einen Exitcode 0 zurück, bei fehlgeschlagener Ausführung 1 und bei abgeschlossener Ausführung mit Warnungen 2.
Beispiele
Mit dem Befehl wird eine Datei mithilfe des besten Zertifikats automatisch signiert.
signtool sign /a MyFile.exe