SignTool Verify |
Outil de signature : Vérifie |
---|---|
SDK Windows 10 |
Syntaxe
signtool Verify [options] [file_name | ...] |
Paramètres
Paramètre | Description | |
---|---|---|
/a | Ce paramètre permet d'indiquer que toutes les méthodes peuvent être utilisées pour vérifier le fichier. Tout d'abord, les bases de données du catalogue sont recherchées pour déterminer si le fichier est signé dans un catalogue. Si le fichier n'est signé dans aucun catalogue, SignTool tente de vérifier la signature intégrée du fichier. Cette option est recommandée lors de la vérification de fichiers pouvant ou non être signés dans un catalogue. Des exemples de fichiers pouvant ou non être signés incluent les fichiers ou les pilotes Windows. | |
/ad | Ce paramètre permet de rechercher le catalogue à l'aide de la base de données de catalogue par défaut. | |
/all | Ce paramètre permet de vérifier toutes les signatures dans un fichier avec plusieurs signatures. | |
/as | Ce paramètre permet de rechercher le catalogue à l'aide de la base de données du catalogue des composantes système (pilotes). | |
/ag CatDBGUID | Ce paramètre permet de rechercher le catalogue dans la base de données de catalogue identifiée par le GUID. | |
/c CatFile | Ce paramètre permet d'indiquer le fichier catalogue par son nom. | |
/d | Ce paramètre permet d'afficher la description et l'URL de description. Veuillez notez que vous Windows Vista et versions antérieures : ce drapeau n'est pas pris en charge. | |
/ds Index | Ce paramètre permet de vérifier la signature à une certaine position. | |
/hash{SHA1|SHA256} | Ce paramètre permet d'indiquer un algorithme de hachage facultatif à utiliser lors de la recherche d'un fichier dans un catalogue. | |
/kp | Ce paramètre permet d'effectuer la vérification à l'aide de la stratégie de signature du pilote en mode noyau x64. | |
/ms | Ce paramètre permet d'effectuer plusieurs sémantiques de vérification. Il s'agit du comportement par défaut d'un appel WinVerifyTrust. | |
/o Version | Ce paramètre permet de vérifier le fichier par version du système d'exploitation. Le paramètre version est dans le format :
L'utilisation du commutateur /o est recommandée. Si /o n'est pas spécifié, SignTool peut renvoyer des résultats inattendus. Par exemple, si vous n'incluez pas le commutateur /o, les catalogues système se validant correctement sur un système d'exploitation plus ancien peuvent ne pas se valider correctement sur un système d'exploitation plus récent. |
|
/p7 | Ce paramètre permet de vérifier les fichiers PKCS #7. Aucune politique existante n'est utilisée pour la validation PKCS #7. La signature est vérifiée et une chaîne de caractères est construite pour le certificat de signature. | |
/pa | Ce paramètre permet d'indiquer que la stratégie de vérification de l'authentification par défaut est utilisée. Si l'option /pa n'est pas spécifiée, SignTool utilise la politique de vérification des pilotes Windows. Cette option ne peut pas être utilisée avec les options catdb. | |
/pg PolicyGUID | Ce paramètre permet d'indiquer une stratégie de vérification par GUID. Le GUID correspond à l'ActionID de la stratégie de vérification. Cette option ne peut pas être utilisée avec les options catdb. | |
/ph | Ce paramètre permet d'afficher et de vérifier les valeurs de hachage de la page. Veuillez notez que vous Windows Vista et versions antérieures : ce drapeau n'est pas pris en charge. | |
/r RootSubjectName | Ce paramètre permet d'indiquer le nom du sujet du certificat racine auquel le certificat de signature doit être lié. Cette valeur peut être une sous-chaîne de caractères du nom de sujet complet du certificat racine. | |
/tw | Ce paramètre permet d'indiquer qu'un avertissement est généré si la signature n'est pas horodatée. |
Description
Cette commande permet de vérifier la signature numérique des fichiers en déterminant si le certificat de signature a été émis par une autorité de confiance, si le certificat de signature a été révoqué et, éventuellement, si le certificat de signature est valide pour une stratégie spécifique.
Remarques
- Si vous avez le message d'erreur suivant :
- La commande de vérification de SignTool détermine si le certificat de signature a été émis par une autorité de confiance, si le certificat de signature a été révoqué et, éventuellement, si le certificat de signature est valide pour une politique spécifique.
- La commande de vérification de SignTool affichera l'état de la signature intégrée à moins qu'une option ne soit spécifiée pour rechercher un catalogue (/a, /ad, /as, /ag, /c).
SignTool Error: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. |
Cela est dû à la commande "verify" que vous avez peut-être exécutée : signtool verify myfile.exe. Si vous exécutez cette commande, signtool utilisera la politique de vérification des pilotes Windows. Pour que votre fichier "vérifie" correctement, vous devez inclure le commutateur /pa, afin que SignTool utilise la politique de vérification de l'authentification par défaut :
signtool verify /pa monfichier.exe |
Exemples
L'exemple suivante vérifie qu'un fichier a été signé avec les pilotes Windows :
signtool verify Setup.msi |
on obtiendra un résultat comme ceci si le certificat à un problème :
File: Setup.msi Index Algorithm Timestamp ======================================== SignTool Error: A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. Number of errors: 1 |
L'exemple suivante vérifie qu'un fichier a été signé :
signtool verify /pa Setup.msi |
on obtiendra un résultat comme ceci si le certificat à un problème :
File: Setup.msi Index Algorithm Timestamp ======================================== 0 sha256 Authenticode Successfully verified: Setup.msi |