signtool - Интернет в облаке

ПРОГРАММА:

ИМЯ

signtool - Цифровая подпись объектов и файлов.

СИНТАКСИС

вывеска [[-b basename]] [[-c Уровень сжатия]] [[-d cert-dir]] [[-e extension]]
[[-f имя_файла]] [[-i сценарий установки]] [[-h]] [[-H]] [[-v]] [[-w]]
[[-G ник]] [[-J]] [[-j каталог]] [-k имя ключа] [[--keysize | -s размер]]
[[-l]] [[-L]] [[-M]] [[-m метафайл]] [[--norecurse]] [[-O]] [[-o]] [[--outfile] ]
[[-p пароль]] [[-t | --token имя токена]] [[-z]] [[-X]] [[-x имя]]
[[--verbose value]] [[--leavearc]] [[-Z jarfile]] [дерево каталогов] [архив]

статус

Работа над этой документацией все еще продолжается. Пожалуйста, внесите свой вклад в первоначальный обзор в
Mozilla NSS ошибка 836477[1]

ОПИСАНИЕ

Инструмент для подписи, вывеска, создает цифровые подписи и использует файл Java Archive (JAR)
чтобы связать подписи с файлами в каталоге. Электронное распространение программного обеспечения
по любой сети влечет за собой потенциальные проблемы с безопасностью. Чтобы помочь решить некоторые из этих проблем
проблемы, вы можете связать цифровые подписи с файлами в архиве JAR. Цифровой
Подписи позволяют клиентам с поддержкой SSL выполнять две важные операции:

* Подтвердите личность человека, компании или другого лица, чья цифровая подпись
связан с файлами

* Проверьте, не были ли файлы подделаны с момента подписания

Если у вас есть сертификат подписи, вы можете использовать Netscape Signing Tool для цифровой подписи
файлы и упаковать их как файл JAR. Сертификат для подписи объекта - это особый вид
сертификат, который позволяет связать вашу цифровую подпись с одним или несколькими файлами.

Отдельный файл потенциально может быть подписан несколькими цифровыми подписями. Для
Например, разработчик коммерческого программного обеспечения может подписывать файлы, составляющие программное обеспечение
продукт, чтобы доказать, что файлы действительно принадлежат определенной компании. Сеть
Администратор-менеджер может подписывать те же файлы дополнительной цифровой подписью на основе
в сертификате, созданном компанией, чтобы указать, что продукт одобрен для использования в
компании.

Значение цифровой подписи сравнимо со значением рукописного
подпись. После того, как вы подписали файл, позже будет сложно утверждать, что вы этого не сделали.
подписать его. В некоторых ситуациях цифровая подпись может считаться юридически обязательной в качестве
собственноручная подпись. Поэтому вам следует очень внимательно следить за тем, чтобы стоять на ногах.
за любым файлом, который вы подписываете и распространяете.

Например, если вы разработчик программного обеспечения, вам следует протестировать свой код, чтобы убедиться, что он
без вирусов до подписания. Точно так же, если вы сетевой администратор, вам следует
перед подписанием любого кода убедитесь, что он получен из надежного источника и будет работать
правильно с программным обеспечением, установленным на машинах, на которые вы его распространяете.

Прежде чем вы сможете использовать Netscape Signing Tool для подписи файлов, вы должны иметь объект для подписи.
сертификат, который представляет собой специальный сертификат, связанный закрытый ключ которого используется для создания
цифровые подписи. Только для целей тестирования вы можете создать объект для подписи
сертификат с Netscape Signing Tool 1.3. Когда тестирование закончено, и вы готовы к
распространять свое программное обеспечение, вы должны получить сертификат подписи объекта из одного из двух
виды источников:

* Независимый центр сертификации (ЦС), который удостоверяет вашу личность и взимает плату
вам гонорар. Обычно вы получаете сертификат от независимого центра сертификации, если хотите подписать
программное обеспечение, которое будет распространяться через Интернет.

* Серверное программное обеспечение CA, работающее в корпоративной интрасети или экстранете. Сертификат Netscape
Система управления предоставляет полное решение для управления созданием, развертыванием и
управление сертификатами, включая центры сертификации, которые выдают сертификаты для подписи объектов.

У вас также должен быть сертификат для ЦС, который выдает ваш сертификат подписи перед
вы можете подписывать файлы. Если сертификат центра сертификации еще не установлен в
вашу копию Communicator, вы обычно устанавливаете ее, щелкнув соответствующую ссылку на
веб-сайт центра сертификации, например, на странице, с которой вы инициировали
регистрация для сертификата подписи. Так обстоит дело с некоторыми сертификатами испытаний, так как
а также сертификаты, выданные системой управления сертификатами Netscape: необходимо загрузить
сертификат CA в дополнение к получению собственного сертификата подписи. CA
в Коммуникаторе предустановлены сертификаты для нескольких центров сертификации
база данных сертификатов.

Когда вы получаете сертификат для подписи объекта для собственного использования, он автоматически
установлен в вашей копии клиентского программного обеспечения Коммуникатора. Коммуникатор поддерживает
стандарт криптографии с открытым ключом, известный как PKCS # 12, который регулирует переносимость ключей. Ты
может, например, переместить сертификат подписи объекта и связанный с ним закрытый ключ из
с одного компьютера на другой на устройстве размером с кредитную карту, которое называется смарт-картой.

ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ

-b базовое имя
Задает базовое имя файла .rsa и .sf в каталоге META-INF для
соответствовать формату JAR. Например, -b подписей вызывает имена файлов
подписиs.rsa и signatures.sf. По умолчанию - signtool.

-c #
Задает уровень сжатия для параметра -J или -Z. Символ # представляет собой
число от 0 до 9, где 0 означает отсутствие сжатия, а 9 означает максимальное сжатие. В
чем выше уровень сжатия, тем меньше выход, но дольше работа
берет. Если параметр -c # не используется ни с параметром -J, ни с параметром -Z, значение по умолчанию
значение сжатия, используемое опциями -J и -Z, равно 6.

-d сертификат
Задает каталог вашей базы данных сертификатов; то есть каталог, в котором вы
разместил файлы key3.db и cert7.db. Чтобы указать текущий каталог, используйте «-d».
(включая период). Версия signtool для Unix предполагает ~ / .netscape если не сказано
иначе. Версия signtool для NT всегда требует использования параметра -d для
укажите, где находятся файлы базы данных.

-e расширение
Указывает signtool подписывать только файлы с заданным расширением; например, используйте
-e ".class" для подписи только файлов классов Java. Обратите внимание, что с версией Netscape Signing Tool
1.1 и более поздних версий этот параметр может появляться несколько раз в одной командной строке, что делает его
можно указать несколько типов файлов или классов для включения.

-f командный файл
Задает текстовый файл, содержащий параметры и аргументы Netscape Signing Tool в
ключевое слово = формат значения. Все параметры и аргументы могут быть выражены через этот файл.
Для получения дополнительной информации о синтаксисе, используемом с этим файлом, см. «Советы и методы».

-G ник
Создает новую пару закрытого и открытого ключей и соответствующий сертификат подписи объекта.
с данным ником. Вновь сгенерированные ключи и сертификат устанавливаются в
базы данных ключей и сертификатов в каталоге, указанном параметром -d. С участием
версия NT Netscape Signing Tool, вы должны использовать опцию -d с -G
вариант. В версии Netscape Signing Tool для Unix отсутствие параметра -d приводит к
инструмент для установки ключей и сертификата в Коммуникатор ключ и сертификат
базы данных. Если вы устанавливаете ключи и сертификат в Коммуникатор
баз данных, вы должны выйти из Communicator, прежде чем использовать эту опцию; в противном случае вы рискуете
повреждение баз данных. Во всех случаях сертификат также выводится в файл с именем
x509.cacert, имеющий приложение MIME-типа / x-x509-ca-cert. В отличие от сертификатов
обычно используется для подписания готового кода для распространения по сети, тест
сертификат, созданный с помощью -G, не подписан признанным центром сертификации.
Вместо этого он самоподписанный. Кроме того, функционирует единый тестовый сертификат подписи.
как сертификат подписи объекта и как CA. Когда вы используете его для подписи объектов,
он ведет себя как сертификат для подписи объекта. Когда он импортируется в браузер
программное обеспечение, такое как Communicator, оно ведет себя как центр сертификации для подписи объектов и не может использоваться
подписывать объекты. Параметр -G доступен в Netscape Signing Tool 1.0 и более поздних версиях.
только версии. По умолчанию он производит только сертификаты RSA с 1024-байтовыми ключами в
внутренний токен. Однако вы можете использовать параметр -s, чтобы указать требуемый размер ключа.
и параметр -t для указания токена.

-i имя сценария
Задает имя сценария установки для SmartUpdate. Этот скрипт устанавливает файлы
из архива JAR в локальной системе после того, как SmartUpdate проверит цифровой
подпись. Для получения дополнительных сведений см. Описание -m ниже. Параметр -i
предоставляет простой способ предоставить эту информацию, если вам не нужно
укажите любые метаданные, кроме сценария установки.

-J
Подписывает каталог HTML-файлов, содержащих JavaScript, и создает столько архивов
файлы, как указано в тегах HTML. Даже если signtool создает более одного
файл архива, вам нужно указать пароль базы данных ключей только один раз. Параметр -J -
доступно только в Netscape Signing Tool 1.0 и более поздних версиях. Параметр -J не может
использоваться одновременно с параметром -Z. Если опция -c # не используется с -J
параметр, значение сжатия по умолчанию - 6. Обратите внимание, что версии 1.1 и более поздние версии
Netscape Signing Tool правильно распознает атрибут CODEBASE, позволяет путям быть
выражается для атрибутов CLASS и SRC, а не только для имен файлов, обрабатывает LINK
теги и правильно анализирует HTML, а также предлагает более четкие сообщения об ошибках.

-j каталог
Задает специальный каталог JavaScript. Эта опция вызывает указанный каталог
должен быть подписан и помечает свои записи как встроенный JavaScript. Этот особый тип входа
не обязательно появляться в самом файле JAR. Вместо этого он находится в HTML
страница, содержащая встроенные скрипты. Когда вы используете signtool -v, эти записи
отображается со строкой НЕТ.

-k ключ ... каталог
Указывает псевдоним (ключ) сертификата, которым вы хотите подписаться, и подписывает
файлы в указанном каталоге. Каталог для подписи всегда указывается как
последний аргумент командной строки. Таким образом, можно написать signtool -k MyCert -d.
signdir У вас могут возникнуть проблемы, если псевдоним состоит из одинарных кавычек. К
избегайте проблем, избегайте кавычек, используя условные обозначения для вашего
Платформа. Также можно использовать параметр -k без подписи файлов или
указание каталога. Например, вы можете использовать его с параметром -l, чтобы получить подробную информацию
информация о конкретном сертификате подписи.

-l
Перечисляет сертификаты подписи, включая выдающие центры сертификации. Если какой-либо из ваших сертификатов
истек или недействителен, это будет указано в списке. Эту опцию можно использовать с -k
возможность вывести подробную информацию о конкретном сертификате подписи. -L
опция доступна только в Netscape Signing Tool 1.0 и более поздних версиях.

-L
Список сертификатов в вашей базе данных. Слева от
псевдоним для любого сертификата, который можно использовать для подписи объектов с помощью signtool.

--leavearc
Сохраняет временные каталоги .arc (архивы), создаваемые параметром -J. Эти
по умолчанию каталоги стираются автоматически. Сохранение временных каталогов
может быть подспорьем при отладке.

-m метафайл
Задает имя файла управления метаданными. Метаданные - это подписанная информация, прикрепленная
либо в сам архив JAR, либо в файлы внутри архива. Эти метаданные могут быть
любая строка ASCII, но используется в основном для указания сценария установщика. Метаданные
файл содержит по одной записи в строке, каждое с тремя полями: поле №1: файл
спецификации или +, если вы хотите указать глобальные метаданные (то есть метаданные о
сам архив JAR или все записи в архиве) поле # 2: имя данных
вы указываете; например: поле Install-Script # 3: данные, соответствующие
имя в поле # 2 Например, опция -i использует эквивалент этой строки: +
Install-Script: script.js В этом примере тип MIME связывается с файлом: movie.qt
MIME-тип: video / quicktime Для получения информации о способе установки скрипта информации
появляется в файле манифеста для архива JAR, см. Формат JAR на Netscape
ДевЭдж.

-M
Перечисляет модули PKCS # 11, доступные для signtool, включая смарт-карты. Параметр -M
доступен только в Netscape Signing Tool 1.0 и более поздних версиях. Для получения информации о
использование Netscape Signing Tool со смарт-картами, см. «Использование Netscape Signing Tool с
Смарт-карты ". Для получения информации об использовании параметра -M для проверки соответствия требованиям стандарта FIPS-140-1.
см. «Средство подписи Netscape и FIPS-140-1».

--norecurse
Блокирует рекурсию в подкаталоги при подписании содержимого каталога или когда
парсинг HTML.

-o
Оптимизирует архив по размеру. Используйте это, только если вы подписываете очень большие архивы
содержащий сотни файлов. Эта опция делает файлы манифеста (требуемые
Формат JAR) значительно меньше, но они содержат немного меньше информации.

--outfile выходной файл
Задает файл для получения перенаправленного вывода от Netscape Signing Tool.

-p пароль
Задает пароль для базы данных закрытых ключей. Обратите внимание, что пароль, введенный на
командная строка отображается как обычный текст.

-s размер ключа
Задает размер ключа для сгенерированного сертификата. Используйте опцию -M, чтобы узнать
какие токены доступны. Опцию -s можно использовать только с опцией -G.

-t токен
Указывает, какой доступный токен должен сгенерировать ключ и получить сертификат.
Используйте параметр -M, чтобы узнать, какие токены доступны. Можно использовать параметр -t
только с опцией -G.

-v архив
Отображает содержимое архива и проверяет криптографическую целостность
цифровые подписи, которые он содержит, и файлы, с которыми они связаны. Этот
включает проверку того, что сертификат для издателя объекта подписи
сертификат указан в базе данных сертификатов, что цифровая подпись ЦС на
сертификат подписи объекта действителен, соответствующие сертификаты не имеют
истек и так далее.

- значение словесности
Устанавливает количество информации, генерируемой Netscape Signing Tool во время работы. Ценность
0 (ноль) является значением по умолчанию и дает полную информацию. Значение -1 подавляет большинство
сообщения, но не сообщения об ошибках.

-w архив
Отображает имена лиц, подписавших любые файлы в архиве.

-x каталог
Исключает указанный каталог из подписи. Обратите внимание, что с помощью Netscape Signing Tool
версия 1.1 и более поздние эта опция может появляться несколько раз в одной командной строке,
позволяя указать несколько конкретных каталогов для исключения.

-z
Указывает signtool не сохранять время подписи в цифровой подписи. Этот вариант
полезно, если вы хотите, чтобы срок действия подписи сравнивался с текущим
дата и время, а не время подписи файлов.

-Z jar-файл
Создает JAR-файл с указанным именем. Вы должны указать эту опцию, если хотите
signtool для создания файла JAR; это не происходит автоматически. Если вы не укажете
-Z, вы должны использовать внешний инструмент ZIP для создания файла JAR. Параметр -Z не может быть
используется одновременно с параметром -J. Если опция -c # не используется с -Z
вариант, значение сжатия по умолчанию - 6.

КОМАНДА ФАЙЛОВ ФОРМАТ

Записи в командном файле Netscape Signing Tool имеют следующий общий формат: ключевое слово = значение.
Все, что находится перед знаком = в одной строке, является ключевым словом, а все, что начинается со знака =
до конца строки стоит значение. Значение может включать знаки =; только первый знак = на
строка интерпретируется. Пустые строки игнорируются, но пробелы в строке с ключевыми словами и
Предполагается, что значения являются частью ключевого слова (если оно стоит перед знаком равенства) или частью
значение (если оно стоит после первого знака равенства). Ключевые слова нечувствительны к регистру, значения
обычно чувствительны к регистру. Поскольку знак = и новая строка ограничивают значение, оно должно
не цитироваться.

подсекция

базовое имя
То же, что опция -b.

(сила)
То же, что опция -c.

Certdir
То же, что и опция -d.

расширение
То же, что и опция -e.

порождать
То же, что опция -G.

скрипт установки
То же, что опция -i.

каталог javascript
То же, что и опция -j.

htmldir
То же, что опция -J.

имя сертификата
Псевдоним сертификата, как с параметрами -k и -l -k.

сигндир
Каталог, который нужно подписать, как с параметром -k.

список
То же, что опция -l. Значение игнорируется, но должен присутствовать знак =.

список
То же, что опция -L. Значение игнорируется, но должен присутствовать знак =.

метафайл
То же, что опция -m.

модули
То же, что опция -M. Значение игнорируется, но должен присутствовать знак =.

оптимизировать
То же, что и опция -o. Значение игнорируется, но должен присутствовать знак =.

password
То же, что опция -p.

размер ключа
То же, что и опция -s.

знак
То же, что опция -t.

проверить
То же, что опция -v.

кто
То же, что опция -w.

исключать
То же, что и опция -x.

нет времени
То же, что и опция -z. значение игнорируется, но должен присутствовать знак =.

jar-файл
То же, что опция -Z.

Outfile
Имя файла, в который будет перенаправляться вывод и сообщения об ошибках. Этот вариант имеет
нет эквивалента командной строки.

РАСПРОСТРАНЕНИЯ ПРИМЕРЫ

Следующий пример будет делать то и то

Список Доступен подписание Сертификаты

Вы используете опцию -L, чтобы перечислить псевдонимы для всех доступных сертификатов и проверить, какие
одни подписывают сертификаты.

знакинструмент -L

используя каталог сертификатов: /u/jsmith/.netscape
Сертификаты S
- ------------
Корень ЦС служб сертификации BBN 1
Центр сертификации IBM World Registry
ЦС VeriSign класса 1 - индивидуальный подписчик - VeriSign, Inc.
Корневой ЦС GTE CyberTrust
Uptime Group Plc. Класс 4 CA
* Сертификат подписи объекта Verisign
Интегрион CA
ЦС GTE CyberTrust Secure Server
Служба каталогов AT&T
* сертификат подписи тестового объекта
Uptime Group Plc. Класс 1 CA
Первичный центр сертификации VeriSign класса 1
- ------------

Сертификаты, которые можно использовать для подписи объектов, имеют * слева от них.

Отображаются два сертификата подписи: Сертификат подписи объекта Verisign и тестовый объект.
подписание сертификата.

Вы используете параметр -l, чтобы получить только список подписывающих сертификатов, включая подписывающий ЦС.
для каждого.

знакинструмент -l

используя каталог сертификатов: /u/jsmith/.netscape
Сертификаты подписи объектов
---------------------------------------

Сертификат подписи объекта Verisign
Выдано: VeriSign, Inc. - Verisign, Inc.
Истекает: Вт Май 19, 1998
сертификат подписи тестового объекта
Выдан: сертификат подписи тестового объекта (Signtool 1.0 Testing
Сертификат (960187691))
Истекает: Вс 17 Май, 1998
---------------------------------------

Для списка, включающего центры сертификации, используйте -L опцию.

подписание a Файл

1. Создайте пустой каталог.

мкдир

2. Поместите в него какой-нибудь файл.

эхо бу> signdir / test.f

3. Укажите имя сертификата подписи объекта и подпишите каталог.

signtool -k MySignCert -Z testjar.jar каталог подписи

с помощью ключа "MySignCert"
используя каталог сертификатов: /u/jsmith/.netscape
Создание файла signdir / META-INF / manifest.mf ..
-> test.f
добавление signdir / test.f в testjar.jar
Создание файла signtool.sf ..
Введите пароль или PIN-код для «БД сертификатов коммуникатора»:

добавление signdir / META-INF / manifest.mf в testjar.jar
добавление signdir / META-INF / signtool.sf в testjar.jar
добавление signdir / META-INF / signtool.rsa в testjar.jar

дерево "сигндир" подписано успешно

4. Протестируйте только что созданный архив.

Signtool -v testjar.jar

используя каталог сертификатов: /u/jsmith/.netscape
Архив testjar.jar прошел криптовалютную верификацию.
статусный путь
--------------------------------
проверено test.f

. Netscape подписание Инструмент a ZIP утилита

Чтобы использовать Netscape Signing Tool с утилитой ZIP, эта утилита должна быть указана в вашем пути.
переменная окружения. Вам следует использовать утилиту zip.exe, а не pkzip.exe, которая
не может обрабатывать длинные имена файлов. Вы можете использовать утилиту ZIP вместо параметра -Z, чтобы
упаковать подписанный архив в файл JAR после того, как вы его подписали:

CD-диск

zip -r ../myjar.jar *
добавление: META-INF / (сохранено 0%)
добавлено: META-INF / manifest.mf (спущено 15%)
добавлено: META-INF / signtool.sf (спущено 28%)
добавление: META-INF / signtool.rsa (хранится 0%)
добавление: text.txt (сохранено 0%)

Порождающий Ключи и Сертификация

Параметр signtool -G генерирует новую пару открытого и закрытого ключей и сертификат. Занимает
псевдоним нового сертификата в качестве аргумента. Вновь сгенерированные ключи и
сертификат устанавливаются в базу ключей и сертификаты в каталоге
указывается параметром -d. С NT-версией Netscape Signing Tool вы должны использовать
Параметр -d с параметром -G. В версии Netscape Signing Tool для Unix, опуская
Параметр -d заставляет инструмент установить ключи и сертификат в ключе Коммуникатора и
базы данных сертификатов. Во всех случаях сертификат также выводится в файл с именем
x509.cacert, имеющий приложение MIME-типа / x-x509-ca-cert.

Сертификаты содержат стандартную информацию об идентифицируемом ими объекте, такую ​​как
общее название и название организации. Netscape Signing Tool запрашивает эту информацию
когда вы запускаете команду с параметром -G. Однако все запрошенные поля являются
необязательно для сертификатов испытаний. Если вы не введете общее имя, инструмент предоставит
имя по умолчанию. В следующем примере пользовательский ввод выделен жирным шрифтом:

Signtool -G MyTestCert

используя каталог сертификатов: /u/someuser/.netscape
Введите информацию о сертификате. Все поля необязательны. Приемлемо
символы - это числа, буквы, пробелы и апострофы.
общее имя сертификата: Сертификат подписи тестового объекта
Организация: Netscape Communications Corp.
организационное подразделение: подразделение серверных продуктов
штат или провинция: Калифорния
страна (должно быть ровно 2 символа): США
имя пользователя: someuser
адрес электронной почты: [электронная почта защищена]
Введите пароль или PIN-код для «БД сертификатов коммуникатора»: [Пароль не отображается эхом]
сгенерированная пара открытого / закрытого ключей
запрос сертификата сгенерирован
сертификат подписан
сертификат "MyTestCert" добавлен в базу данных
Сертификат экспортирован в x509.raw и x509.cacert.

Информация о сертификате считывается из стандартного ввода. Следовательно, информация может быть
читать из файла с помощью оператора перенаправления (<) в некоторых операционных системах. Чтобы создать
Для этого введите каждое из семи полей ввода по порядку в отдельной строке.
Убедитесь, что в конце последней строки стоит символ новой строки. Затем запустите signtool с помощью
стандартный ввод перенаправляется из вашего файла следующим образом:

signtool -G MyTestCert входной файл

Запросы отображаются на экране, но ответы будут автоматически считываться из
файл. Пароль по-прежнему будет считываться с консоли, если вы не используете параметр -p для
введите пароль в командной строке.

. -M Опция в Список Smart Карты

Вы можете использовать опцию -M для вывода списка модулей PKCS # 11, включая смарт-карты, которые
доступно для signtool:

signtool -d "c: \ netscape \ users \ jsmith" -M

используя каталог сертификатов: c: \ netscape \ users \ username
Листинг модулей PKCS11
-----------------------------------------------
1. Внутренний модуль Netscape PKCS # 11
(этот модуль загружен изнутри)
слоты: 2 слота прилагаются
статус: загружен
слот: Внутренние криптографические службы коммуникатора, версия 4.0
токен: Коммуникатор Generic Crypto Svcs
слот: закрытый ключ пользователя коммуникатора и службы сертификации
токен: БД сертификатов коммуникатора
2. КриптОС
(это внешний модуль)
Имя DLL: core32
слоты: 1 слота прилагаются
статус: загружен
слот: Litronic 210
маркер:
-----------------------------------------------

. Netscape подписание Инструмент и a Smart Карты в Войти Файлы

Команда signtool обычно принимает аргумент опции -k для указания подписи.
сертификат. Чтобы подписать с помощью смарт-карты, вы указываете только полное имя
сертификат.

Чтобы увидеть полные имена сертификатов при запуске Communicator, нажмите кнопку «Безопасность».
в навигаторе, а затем щелкните Ваш под Сертификатами в левом фрейме. От корки до корки
полные имена имеют формат смарт-карта: сертификат, например «Моя карта: Моя подпись.
Cert ". Это имя используется с аргументом -k следующим образом:

signtool -k Каталог "MyCard: My Signing Cert"

проверка ФИПС режим

Используйте параметр -M, чтобы убедиться, что вы используете модуль FIPS-140-1.

signtool -d "c: \ netscape \ users \ jsmith" -M

используя каталог сертификатов: c: \ netscape \ users \ jsmith
Листинг модулей PKCS11
-----------------------------------------------
1. Внутренний модуль Netscape PKCS # 11
(этот модуль загружен изнутри)
слоты: 2 слота прилагаются
статус: загружен
слот: Внутренние криптографические службы коммуникатора, версия 4.0
токен: Коммуникатор Generic Crypto Svcs
слот: закрытый ключ пользователя коммуникатора и службы сертификации
токен: БД сертификатов коммуникатора
-----------------------------------------------

Этот пример Unix показывает, что Netscape Signing Tool использует модуль FIPS-140-1:

signtool -d "c: \ netscape \ users \ jsmith" -M
используя каталог сертификатов: c: \ netscape \ users \ jsmith
Введите пароль или PIN-код для «БД сертификатов коммуникатора»: [пароль не будет отображаться эхом]
Листинг модулей PKCS11
-----------------------------------------------
1. Внутренний модуль Netscape FIPS PKCS # 11
(этот модуль загружен изнутри)
слоты: 1 слота прилагаются
статус: загружен
слот: Netscape Internal FIPS-140-1 Cryptographic Services
токен: БД сертификатов коммуникатора
-----------------------------------------------

Используйте signtool онлайн с помощью сервисов onworks.net