SignTool (MS Authenticode)
続行する前に、Windows 設定の前提条件のステップが完了していることを確認してください。
Follow these instructions to sign directly using SignTool and securely reference your private key stored in DigiCert® KeyLocker
Prerequisites
Windows operating system
Download and configure DigiCert® KeyLocker clients
Download a copy of your certificate or use the certificate fingerprint
Sign
You can sign a file with SignTool using either of the following:
Download a copy of certificate
Certificate fingerprint
Sign with certificate
To sign, run:
signtool.exe sign /csp "DigiCert Signing Manager KSP" /kc <keypair_alias> /f <certificate_file> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <file_to_be_signed>
Command sample:
signtool.exe sign /csp "DigiCert Signing Manager KSP" /kc key1 /f example.crt /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 signthis.util.exe
Signing
鍵ペアエイリアスと証明書ファイルパスを提供する
証明書を同期させ、鍵ペアエイリアスと証明書ファイルのパスを入力してください。
To sync the default certificate associated with the specified keypair alias:
smctl windows certsync --keypair-alias=<keypair alias>
注記
For more information refer to the Windows command manual.
この方法を使用して署名するには、証明書のサムプリントを取得する必要があります。方法の1つは、証明書マネージャを開き、証明書をダブルクリックして[詳細] タブを選択し、[サムプリント] 拡張子までスクロールダウンすることです。
signtool.exe sign /sha1 <certificate thumbprint> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <file to be signed>
Command sample:
signtool.exe sign /sha1 3550ffca3cd652dde30675ce681ev1e01073e647 /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 example.exe
To sign, run the following PowerShell command:
$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object {$_.FriendlyName -like "<CERTIFICATE ALIAS>"}
$thumbprint = $cert.Thumbprint
Write-Host($cert.Thumbprint)
signtool.exe sign /sha1 <certificate thumbprint> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <file to be signed> 署名の検証
署名されたファイルを検証する:
signtool verify /v /pa <signed file>
Command sample:
signtool verify /v /pa ws.util.exe
注記
テスト認証局で署名したことにより、テスト署名中に署名検証でエラーが表示されることがあります。