Partager via

Informations de référence sur l’interface CLI de sign pour les packages VSIX

  • Article

sign - Outil Dotnet utilisé pour signer des fichiers et des conteneurs à l’aide de certificats PFX, CER ou P7B sur disque ou à partir de Windows Certificate Manager (WCM), de fournisseurs de services de chiffrement (CSP) ou d’Azure Key Vault.

Important

Sign CLI prend uniquement en charge SHA-256, SHA-384et SHA-512 en tant qu’algorithmes d’empreinte digitale valides. Vous pouvez utiliser PowerShell pour obtenir des empreintes digitales à l’aide de : Get-FileHash -Algorithm SHA256 <path to .cer file> | Format-Table -AutoSize

Synopsis

sign code certificate-store [<PATH(s)>]
    [-cf|--certificate-file <PATH>]
    [-p|--password <PASSWORD>]
    [-cfp|--certificate-fingerprint <SHA>]
    [-csp|--crypto-service-provider <CSPNAME>]
    [-k|--key-container <HASHALGORITHM>]
    [-km|--use-machine-key-container]
    [-d|--description <DESCRIPTION>]
    [-u|--descriptionUrl <URL>]
    [-fd|--file-digest <DIGEST>]
    [-t|--timestamp-url <URL>]
    [-tr|--timestamp-rfc3161 <URL>]
    [-td|--timestamp-digest <DIGEST>]
    [-o|--output <PATH>]
    [-b|--base-directory <wORKINGDIRECTORY>]
    [-f|--force]
    [-m|--max-concurrency <MAXCONCURRENCY>]
    [-fl|--filelist <FILELISTPATH>]

sign code certificate-store -h|--help

Description

Sign CLI est un outil Dotnet qui signe de manière récursive des fichiers et des conteneurs avec un certificat et un certificat privé. Le certificat et la clé privée peuvent être obtenus à partir d’un fichier (PFX, P7B, CER) ou d’un certificat installé dans un magasin de certificats en fournissant un , SHA-384ou SHA-512 une SHA-256empreinte digitale. Les clés USB sont accessibles à l’aide d’un fournisseur de services de chiffrement (CSP) implémenté par le fabricant et accessible à partir du magasin de certificats.

Installation

Installez l’interface CLI sign globalement à l’aide dotnet tool install sign --version <version> --globalde la <version> dernière version disponible sous Sign (nuget.org).

Installation hors connexion de l’interface CLI de connexion

Pour les environnements isolés, vous pouvez télécharger un package NuGet Sign CLI et l’installer à l’aide de :

dotnet tool install --global --add-source <path-to-folder> <tool-name> --version <version>

Arguments

  • VSIX-paths(s)

    Spécifie le ou les chemins d’accès au package VSIX à signer.

Options

  • -cf|--certificate-file <PATH>

    Fichier PFX, P7B ou CER contenant un certificat et potentiellement une clé privée.

  • -p|--password <PASSWORD>

    Mot de passe facultatif pour le fichier de certificat.

  • -cfp|--certificate-fingerprint <SHA>

    EMPREINTE SHA-256, SHA-384 ou SHA-512 utilisée pour identifier un certificat avant la signature.

  • -csp|--crypto-service-provider <CSP NAME>

    Fournisseur de services de chiffrement contenant une clé privée.

  • -k|--key-container <CONTAINER NAME>]

    Nom du conteneur de clé privée.

  • -km|--use-machine-key-container]

    Utilisez un conteneur de clé privée au niveau de l’ordinateur au lieu du conteneur de niveau utilisateur par défaut.

  • -d|--description <DESCRIPTION>

    Description du certificat de signature.

  • -u|--descriptionUrl <URL>

    URL de description du certificat de signature.

  • -fd | --file-digest <DIGEST>

    Algorithme Digest avec lequel hacher le fichier.

  • -t|--timestamp-url <URL>

    URL du serveur d’horodatage RFC 3161. [valeur par défaut : http://timestamp.acs.microsoft.com/]

  • -tr | --timestamp-rfc3161 <URL>

    Spécifie l’URL du serveur d’horodatage RFC 3161.

  • -td|--timestamp-digest <DIGEST>

    Utilisé avec -tr le commutateur pour demander un algorithme digest utilisé par le serveur d’horodatage RFC 3161.

  • -o|--output <PATH>

    Fichier ou dossier de sortie si plusieurs fichiers sont spécifiés. En cas d’omission, l’entrée est remplacée.

  • -b|--base-directory <PATH>

    Répertoire de base pour que les fichiers remplacent le répertoire de travail.

  • --f|--force

    Remplace une signature s’il existe.

  • -m|--max-concurrency <MAXCONCURRENCY>

    Concurrence maximale (la valeur par défaut est 4)

  • -fl | --filelist <PATH>

    Chemin d’accès au fichier contenant les chemins d’accès des fichiers à signer ou à exclure de la signature dans le conteneur.

  • -?|-h|--help

    Imprime une description de l’utilisation de la commande.

Exemples

  • Signez contoso.vsix avec un certificat importé dans le magasin de certificats utilisateur :

    sign contoso.vsix -cfp 24D589...FB9523B36E -d "Constoso VSIX Signature" -u "http://www.contoso.com"

  • Signez contoso.vsix avec certificat cert.pfx (pas protégé par mot de passe) à l’aide d’une empreinte digitale SHA-512 :

    sign contoso.vsix -cfp A87A6F...894559B981 -cfpa sha512 -cf D:\certificates\cert.pfx -d "Constoso VSIX Signature" -u "http://www.contoso.com"

  • Signer contoso.vsix avec certificat cert.pfx (protégé par mot de passe) :

    sign contoso.vsix -s 24D58920B2D24D00A7DF07FB9523B36E -cf cert.pfx -p <password> -d "Constoso VSIX Signature" -u "http://www.contoso.com"

  • Signez plusieurs packages VSIX - contoso.vsix et tous les fichiers .vsix dans le répertoire spécifié avec certificat cert.pfx (pas protégé par mot de passe) :

    sign *.vsix -s 24D58920B2D24D00A7DF07FB9523B36E -cf cert.pfx -d "Constoso VSIX Signature" -u "http://www.contoso.com"

  • Signez contoso.vsix avec un certificat stocké dans un lecteur USB sécurisé.

    sign contoso.vsix -s 24D58920B2D24D00A7DF07FB9523B36E -csp "Microsoft Software Key Storage Provider" -k "NuGetSigning 0B2D249223B36D00A7DF07FB95E24D58" -d "Constoso VSIX Signature" -u "http://www.contoso.com"

  • Signez contoso.vsix avec un certificat stocké dans un lecteur USB sécurisé et accessible à partir du magasin de certificats de l’ordinateur (option -km).

    sign contoso.vsix -s 24D58920B2D24D00A7DF07FB9523B36E -csp "Microsoft Software Key Storage Provider" -k "NuGetSigning 0B2D249223B36D00A7DF07FB95E24D58" -km -d "Constoso VSIX Signature" -u "http://www.contoso.com"

    Remarque

    Lorsque -k l’option n’est pas fournie, l’outil vérifie tous les conteneurs dans le fournisseur csp fourni pour obtenir un certificat d’empreintes digitales SHA correspondant.

  • Signez contoso.vsix avec un certificat stocké dans un lecteur USB sécurisé spécifiant l’algorithme de synthèse de fichiers (-fd), le serveur d’horodatage (-t) et un chemin de sortie personnalisé (-o) pour le VSIX signé.

    sign contoso.vsix -s 24D58920B2D24D00A7DF07FB9523B36E -csp "Microsoft Software Key Storage Provider" -k "NuGetSigning 0B2D249223B36D00A7DF07FB95E24D58" -d "Constoso VSIX Signature" -u "http://www.contoso.com" -t "http://timestamp.acs.microsoft.com/" -fd sha256 -o "ContosoSigned.vsix"