Skip to main content

SignTool (MS Authenticode)

続行する前に、Windows 設定の前提条件のステップが完了していることを確認してください。

Follow these instructions to sign directly using SignTool and securely reference your private key stored in DigiCert​​®​​ KeyLocker

Prerequisites

Sign

You can sign a file with SignTool using either of the following:

  • Download a copy of certificate

  • Certificate fingerprint

Sign with certificate

To sign, run:

signtool.exe sign /csp "DigiCert Signing Manager KSP" /kc <keypair_alias> /f <certificate_file> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <file_to_be_signed> 

Command sample:

signtool.exe sign /csp "DigiCert Signing Manager KSP" /kc key1 /f example.crt /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 signthis.util.exe  

Signing

鍵ペアエイリアスと証明書ファイルパスを提供する

証明書を同期させ、鍵ペアエイリアスと証明書ファイルのパスを入力してください。

To sync the default certificate associated with the specified keypair alias:

smctl windows certsync --keypair-alias=<keypair alias>

注記

For more information refer to the Windows command manual.

この方法を使用して署名するには、証明書のサムプリントを取得する必要があります。方法の1つは、証明書マネージャを開き、証明書をダブルクリックして[詳細] タブを選択し、[サムプリント] 拡張子までスクロールダウンすることです。

signtool.exe sign /sha1 <certificate thumbprint> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <file to be signed> 

Command sample:

signtool.exe sign /sha1 3550ffca3cd652dde30675ce681ev1e01073e647 /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 example.exe 

To sign, run the following PowerShell command:

$cert = Get-ChildItem Cert:\CurrentUser\My | Where-Object {$_.FriendlyName -like "<CERTIFICATE ALIAS>"} 

$thumbprint = $cert.Thumbprint 

Write-Host($cert.Thumbprint)  

signtool.exe sign /sha1 <certificate thumbprint> /tr http://timestamp.digicert.com /td SHA256 /fd SHA256 <file to be signed> 

署名の検証

署名されたファイルを検証する:

signtool verify /v /pa <signed file>

Command sample:

signtool verify /v /pa ws.util.exe

注記

テスト認証局で署名したことにより、テスト署名中に署名検証でエラーが表示されることがあります。