Microsoft SignTool

Microsoft SignTool je nástroj příkazové řádky součástí Windows Software Development Kit (SDK), který se používá k digitálnímu podepisování souborů, jako jsou spustitelné EXE soubory a knihovny DLL. Tento nástroj umožňuje vývojářům zabezpečit své aplikace digitálním podpisem, což zvyšuje důvěru uživatelů v autenticitu a integritu softwaru.

Instalace SignTool

• Program SignTool je součástí Microsoft Windows Software Development Kit (SDK). Instalátor je ke stažení na stránce Windows SDK.
• Nápověda od společnosti Microsoft je na stránkách learn.microsoft.com/.../seccrypto/signtool s podrobným vysvětlením syntaxe a parametrů.

Základní příkazy

Příkaz pro podepsání vlastní EXE aplikace pomocí CODE Signing certifikátu. Pokud nemáme nastavenu cestu k souboru, je nutné ji specifikovat.

signtool sign /debug /n "web security" /fd SHA256 MyApp.exe

Základní parametry

• /debug - vypisuje informace o ladění
• /a - utomaticky vybere "nejlepší" podpisový certifikát
• /sha1 Hash - volba konkrétního certifikátu podle SHA1 hash (doporučujeme u více certifikátů)
• /n SubjectName - volba konkrétního certifikátu podle názvu, lze použít pouze část obsahu
• /t URL - volba serveru časového razítka
• /fd certHash - specifikace hashovacího algoritmu, povinný parametr (sha256, sha384)
• /d Desc - specifikace podepisovaného kódu

Ukázky syntaxe

signtool sign /a /fd SHA256 MyApp.exe
signtool sign /t http://time.certum.pl /a /fd SHA256 MyApp.exe
signtool sign /t http://timestamp.digicert.com /a /fd SHA384 "C:\path\to\MyApp.exe"
signtool sign /t http://time.certum.pl /n "MyCompany cert" /fd SHA256 /d "test code" MyApp.exe
signtool sign /debug /sha1 46FE5D06C00B8A4207C55A5CC1F4E3AB770AC27A /fd SHA256 /t http://time.certum.pl MyApp.exe

SignTool help

https://learn.microsoft.com/en-us/windows/win32/seccrypto/signtool

---

Kam dál?

• EV CODE nebo Standard CODE
• SimplySign [CA Certum]
• CODE - FAQ & Řešení běžných problémů
• OpenSSL pro Windows a Mac