name: windows-authenticode-signer description: 使用 signtool 通过 Authenticode 对 Windows 可执行文件进行签名,支持 EV 和标准证书 allowed-tools: Read, Write, Edit, Bash, Glob, Grep tags: [windows, 代码签名, authenticode, 安全, 分发]
Windows Authenticode 签名工具
使用 signtool 通过 Authenticode 对 Windows 可执行文件进行签名。此技能为 Windows 应用程序配置代码签名,支持标准和 EV 证书、时间戳以及 CI/CD 集成。
功能
- 使用 Authenticode 对可执行文件进行签名
- 配置 EV 证书签名
- 设置时间戳服务器
- 使用 Azure Key Vault 签名
- 配置 CI/CD 签名工作流
- 验证现有签名
- 对 DLL 和嵌套二进制文件进行签名
- 配置 SHA1/SHA256 双重签名
输入模式
{
"type": "object",
"properties": {
"executablePath": { "type": "string" },
"certificateSource": { "enum": ["file", "store", "azure-keyvault", "digicert"] },
"timestampServer": { "type": "string" },
"hashAlgorithm": { "enum": ["SHA256", "SHA1", "dual"] }
},
"required": ["executablePath"]
}
签名命令
# 使用 PFX 文件签名
signtool sign /f certificate.pfx /p password /fd SHA256 /tr http://timestamp.digicert.com /td SHA256 MyApp.exe
# 使用证书存储签名
signtool sign /n "My Company" /fd SHA256 /tr http://timestamp.digicert.com /td SHA256 MyApp.exe
# 使用 Azure Key Vault 签名
AzureSignTool sign -kvu https://myvault.vault.azure.net -kvi $AZURE_CLIENT_ID -kvt $AZURE_TENANT_ID -kvs $AZURE_CLIENT_SECRET -kvc MyCertificate -tr http://timestamp.digicert.com -td sha256 MyApp.exe
验证
signtool verify /pa /v MyApp.exe
相关技能
msix-package-generatorcode-signing-setup流程