signtool - 云端在线

程序：

您的姓名

signtool - 对对象和文件进行数字签名。

概要

签名工具 [[-b basename]] [[-c 压缩级别]] [[-d cert-dir]] [[-e 扩展名]]
[[-f 文件名]] [[-i 安装程序脚本]] [[-h]] [[-H]] [[-v]] [[-w]]
[[-G 昵称]] [[-J]] [[-j 目录]] [-k keyName] [[--keysize | -s 大小]]
[[-l]] [[-L]] [[-M]] [[-m 元文件]] [[--norecurse]] [[-O]] [[-o]] [[--outfile] ]
[[-p 密码]] [[-t|--token 令牌名称]] [[-z]] [[-X]] [[-x 名称]]
[[--verbose value]] [[--leavearc]] [[-Z jarfile]] [目录树] [归档]

状态

该文档仍在进行中。 请参与初步审查
Mozilla的 新高中 错误 836477[1]

商品描述

签名工具， 签名工具, 创建数字签名并使用 Java Archive (JAR) 文件
将签名与目录中的文件相关联。 电子软件分发
在任何网络上都涉及潜在的安全问题。 为了帮助解决其中一些问题
问题，您可以将数字签名与 JAR 存档中的文件相关联。 数字的
签名允许启用 SSL 的客户端执行两个重要操作：

* 确认个人、公司或其他实体的数字签名的身份
与文件相关联

* 检查文件自签名后是否被篡改

如果您有签名证书，则可以使用 Netscape 签名工具进行数字签名
文件并将它们打包为 JAR 文件。 对象签名证书是一种特殊的证书
允许您将数字签名与一个或多个文件相关联的证书。

可以使用多个数字签名对单个文件进行签名。 为了
例如，商业软件开发人员可能会签署构成软件的文件
产品以证明文件确实来自特定公司。 一个网络
管理员经理可能会使用基于附加数字签名的相同文件进行签名
在公司生成的证书上表明该产品已获准在以下范围内使用
这家公司。

数字签名的重要性堪比手写的重要性
签名。 一旦您签署了文件，以后就很难声称您没有签署
签字。 在某些情况下，数字签名可能被视为具有法律约束力
手写签名。 因此，您应该非常小心，以确保您可以站立
在您签署和分发的任何文件背后。

例如，如果您是一名软件开发人员，您应该测试您的代码以确保它是
在签署之前无病毒。 同样，如果您是网络管理员，您应该
在签署任何代码之前，请确保它来自可靠的来源并且可以运行
正确使用安装在您分发它的机器上的软件。

在您可以使用 Netscape 签名工具签署文件之前，您必须有一个对象签名
证书，这是一种特殊的证书，其关联的私钥用于创建
数字签名。 仅出于测试目的，您可以创建一个对象签名
证书与 Netscape 签名工具 1.3。 当测试完成并且您准备好时
分发您的软件，您应该从两个
来源种类：

* 一个独立的证书颁发机构 (CA) 来验证您的身份和收费
你收费。 如果您想签名，您通常会从独立 CA 获得证书
将在 Internet 上分发的软件。

* 在您的企业内联网或外联网上运行的 CA 服务器软件。 网景证书
管理系统提供了一个完整的管理解决方案，用于创建、部署和
管理证书，包括颁发对象签名证书的 CA。

您还必须拥有颁发您的签名证书的 CA 的证书
你可以签署文件。 如果证书颁发机构的证书尚未安装在
您的 Communicator 副本，您通常通过单击相应的链接来安装它
证书颁发机构的网站，例如在您启动的页面上
注册您的签名证书。 某些测试证书就是这种情况，因为
以及网景证书管理系统颁发的证书：必须下载
除了获取您自己的签名证书之外，还可以获取 CA 证书。 认证机构
Communicator 中预装了多个证书颁发机构的证书
证书数据库。

当您收到供您自己使用的对象签名证书时，它会自动
安装在您的 Communicator 客户端软件副本中。 Communicator 支持
称为 PKCS #12 的公钥加密标准，用于管理密钥的可移植性。 你
例如，可以将对象签名证书及其关联的私钥从
在信用卡大小的称为智能卡的设备上将一台计算机连接到另一台计算机。

配置

-b 基名
指定 META-INF 目录中 .rsa 和 .sf 文件的基本文件名
符合 JAR 格式。 例如， -b 签名 导致文件被命名
签名.rsa 和签名.sf。 默认值为签名工具。

-C＃
指定 -J 或 -Z 选项的压缩级别。 符号#代表一个
从 0 到 9 的数字，其中 0 表示不压缩，9 表示最大压缩。 这
压缩级别越高，输出越小，但操作时间越长
需要。 如果 -c# 选项未与 -J 或 -Z 选项一起使用，则默认
-J 和 -Z 选项使用的压缩值为 6。

-d 证书目录
指定您的证书数据库目录； 也就是说，您所在的目录
放置您的 key3.db 和 cert7.db 文件。 要指定当前目录，请使用“-d”。
（包括期间）。 signtool 的 Unix 版本假设 ~/.网景 除非被告知
除此以外。 NT 版本的 signtool 总是需要使用 -d 选项来
指定数据库文件所在的位置。

-e 扩展名
告诉 signtool 仅对具有给定扩展名的文件进行签名； 例如，使用
-e".class" 仅对 Java 类文件进行签名。 请注意，使用 Netscape 签名工具版本
1.1 及更高版本此选项可以在一个命令行上多次出现，使其
可以指定要包含的多个文件类型或类。

-f 命令文件
指定包含 Netscape 签名工具选项和参数的文本文件
关键字=值格式。 所有选项和参数都可以通过这个文件来表达。
有关与此文件一起使用的语法的更多信息，请参阅“提示和技术”。

-G 昵称
生成新的私钥-公钥对和相应的对象签名证书
与给定的昵称。 新生成的密钥和证书安装到
-d 选项指定的目录中的密钥和证书数据库。 和
Netscape 签名工具的 NT 版本，您必须将 -d 选项与 -G 一起使用
选项。 对于 Unix 版本的 Netscape 签名工具，省略 -d 选项会导致
用于在 Communicator 密钥和证书中安装密钥和证书的工具
数据库。 如果您在 Communicator 中安装密钥和证书
数据库，您必须在使用此选项之前退出 Communicator； 否则，你有风险
破坏数据库。 在所有情况下，证书也会输出到一个名为
x509.cacert，其中包含 MIME 类型的应用程序/x-x509-ca-cert。 不同于证书
通常用于签署要通过网络分发的完成代码，测试
使用 -G 创建的证书不是由公认的证书颁发机构签署的。
相反，它是自签名的。 此外，单个测试签名证书功能
作为对象签名证书和 CA。 当您使用它来签署对象时，
它的行为类似于对象签名证书。 导入浏览器时
Communicator 等软件，它的行为类似于对象签名 CA，无法使用
签署对象。 -G 选项在 Netscape 签名工具 1.0 及更高版本中可用
仅版本。 默认情况下，它只生成 1024 字节密钥的 RSA 证书
内部令牌。 但是，您可以使用 -s 选项指定所需的密钥大小
和 -t 选项来指定令牌。

-i 脚本名
指定 SmartUpdate 的安装程序脚本的名称。 此脚本安装文件
SmartUpdate 验证数字后，从本地系统中的 JAR 存档
签名。 有关更多详细信息，请参阅后面的 -m 说明。 -i 选项
如果您不需要，提供了一种直接的方式来提供此信息
指定安装程序脚本以外的任何元数据。

-J
对包含 JavaScript 的 HTML 文件目录进行签名并创建尽可能多的存档
HTML 标签中指定的文件。 即使 signtool 创建了多个
存档文件，您只需要提供一次密钥数据库密码。 -J 选项是
仅在 Netscape 签名工具 1.0 和更高版本中可用。 -J 选项不能
与 -Z 选项同时使用。 如果 -c# 选项未与 -J 一起使用
选项，默认压缩值为 6。请注意，1.1 及更高版本的
Netscape 签名工具正确识别 CODEBASE 属性，允许路径
表示 CLASS 和 SRC 属性，而不仅仅是文件名，处理 LINK
标记并正确解析 HTML，并提供更清晰的错误消息。

-j 目录
指定一个特殊的 JavaScript 目录。 该选项导致指定目录
进行签名并将其条目标记为内联 JavaScript。 这种特殊类型的条目
不必出现在 JAR 文件本身中。 相反，它位于 HTML
包含内联脚本的页面。 当您使用 signtool -v 时，这些条目是
显示字符串 NOT PRESENT。

-k 密钥 ... 目录
指定要签名的证书的昵称（密钥）并对证书进行签名
指定目录下的文件。 要签名的目录始终指定为
最后一个命令行参数。 因此，可以编写 signtool -k MyCert -d 。
signdir 如果昵称包含单引号，您可能会遇到问题。 到
避免问题，使用转义约定转义引号
平台。 也可以使用 -k 选项而不签署任何文件或
指定目录。 例如，您可以将它与 -l 选项一起使用以获取详细信息
有关特定签名证书的信息。

-l
列出签名证书，包括颁发 CA。 如果您的任何证书是
过期或无效，列表将如此指定。 此选项可与 -k 一起使用
选项以列出有关特定签名证书的详细信息。 -l
选项仅在 Netscape 签名工具 1.0 和更高版本中可用。

-L
列出数据库中的证书。 星号出现在左侧
可用于使用 signtool 对对象进行签名的任何证书的昵称。

--离开弧
保留 -J 选项创建的临时 .arc（归档）目录。 这些
默认情况下会自动删除目录。 保留临时目录
可以帮助调试。

-m 元文件
指定元数据控制文件的名称。 元数据是附加的签名信息
要么是 JAR 档案本身，要么是档案中的文件。 这个元数据可以是
任何 ASCII 字符串，但主要用于指定安装程序脚本。 元数据
文件每行包含一个条目，每个条目包含三个字段：字段 #1：文件
规范，如果要指定全局元数据（即有关的元数据），则为 +
JAR 存档本身或存档中的所有条目）字段 #2：数据的名称
您正在指定； 例如：Install-Script 字段 #3：对应于
字段 #2 中的名称 例如，-i 选项使用此行的等效项：+
安装脚本：script.js 此示例将 MIME 类型与文件关联：movie.qt
MIME-Type: video/quicktime 有关安装程序脚本信息的方式的信息
出现在 JAR 存档的清单文件中，请参阅 Netscape 上的 JAR 格式
开发边缘。

-M
列出可用于 signtool 的 PKCS #11 模块，包括智能卡。 -M 选项
仅在 Netscape 签名工具 1.0 及更高版本中可用。 有关信息
将 Netscape Signing Tool 与智能卡一起使用，请参阅“将 Netscape Signing Tool 与智能卡一起使用”
智能卡”。有关使用 -M 选项验证 FIPS-140-1 验证的信息
模式，请参阅“Netscape 签名工具和 FIPS-140-1”。

--norecurse
在对目录的内容进行签名时或在以下情况下阻止递归进入子目录
解析 HTML。

-o
优化存档的大小。 仅当您签署非常大的档案时才使用此选项
包含数百个文件。 此选项使清单文件（由
JAR 格式）相当小，但它们包含的信息略少。

--outfile 输出文件
指定一个文件以接收来自 Netscape 签名工具的重定向输出。

-p密码
指定私钥数据库的密码。 请注意，输入的密码
命令行显示为纯文本。

-s 密钥大小
指定生成证书的密钥大小。 使用 -M 选项找出
什么令牌可用。 -s 选项只能与 -G 选项一起使用。

-t 令牌
指定哪个可用令牌应生成密钥并接收证书。
使用 -M 选项找出可用的令牌。 可以使用 -t 选项
仅使用 -G 选项。

-v 存档
显示档案的内容并验证档案的加密完整性
它包含的数字签名以及与之关联的文件。 这个
包括检查对象签名的颁发者的证书
证书列在证书数据库中，即 CA 的数字签名
对象签名证书有效，相关证书没有
过期等等。

--详细值
设置 Netscape Signing Tool 在操作中生成的信息量。 一个值
0（零）是默认值并提供完整信息。 -1 的值抑制了大部分
消息，但不是错误消息。

-w 存档
显示存档中任何文件的签名者姓名。

-x 目录
从签名中排除指定的目录。 请注意，使用 Netscape 签名工具
1.1 版及更高版本此选项可以在一个命令行上多次出现，
可以指定几个要排除的特定目录。

-z
告诉 signtool 不要在数字签名中存储签名时间。 这个选项是
如果您希望根据当前情况检查签名的到期日期，则很有用
日期和时间，而不是文件签署的时间。

-Z jar文件
创建具有指定名称的 JAR 文件。 如果需要，您必须指定此选项
signtool 创建 JAR 文件； 它不会自动执行此操作。 如果你不指定
-Z，您必须使用外部 ZIP 工具来创建 JAR 文件。 -Z 选项不能
与 -J 选项同时使用。 如果 -c# 选项未与 -Z 一起使用
选项，默认压缩值为 6。

“ 指挥 文件 FORMAT

Netscape 签名工具命令文件中的条目具有以下通用格式：keyword=value
一行中 = 符号之前的所有内容都是关键字，而 = 符号之前的所有内容都是关键字
到行尾是一个值。 该值可能包括 = 符号； 只有第一个 = 在 a 上签名
行被解释。 空白行会被忽略，但包含关键字和
假定值是关键字的一部分（如果它出现在等号之前）或
值（如果它出现在第一个等号之后）。 关键字不区分大小写，值
通常区分大小写。 由于 = 符号和换行符分隔值，它应该
不被引用。

第

基本名
与 -b 选项相同。

压片
与 -c 选项相同。

证书目录
与 -d 选项相同。

延期
与 -e 选项相同。

生成
与 -G 选项相同。

安装脚本
与 -i 选项相同。

javascript目录
与 -j 选项相同。

html目录
与 -J 选项相同。

证书名称
证书的昵称，与 -k 和 -l -k 选项一样。

签名者
要签名的目录，与 -k 选项一样。

名单
与 -l 选项相同。 值被忽略，但 = 符号必须存在。

列出所有
与 -L 选项相同。 值被忽略，但 = 符号必须存在。

元文件
与 -m 选项相同。

模块
与 -M 选项相同。 值被忽略，但 = 符号必须存在。

优化
与 -o 选项相同。 值被忽略，但 = 符号必须存在。

密码
与 -p 选项相同。

密钥大小
与 -s 选项相同。

象征
与 -t 选项相同。

确认
与 -v 选项相同。

谁
与 -w 选项相同。

排除
与 -x 选项相同。

没时间
与 -z 选项相同。 值被忽略，但 = 符号必须存在。

jar文件
与 -Z 选项相同。

输出文件
输出和错误消息将重定向到的文件的名称。 这个选项有
没有等效的命令行。

EXTENDED 示例

以下示例将执行此操作以及执行此操作

上市 可提供 签名 证书

您可以使用 -L 选项列出所有可用证书的昵称并检查哪些
那些是签署证书。

签名工具 -L

使用证书目录：/u/jsmith/.netscape
S证书
- -------------
BBN 证书服务 CA 根 1
IBM 世界注册中心
VeriSign 1 类 CA - 个人订户 - VeriSign, Inc.
GTE Cyber​​Trust 根 CA
正常运行时间集团有限公司4 类 CA
* 威瑞信对象签名证书
集成 CA
GTE Cyber​​Trust 安全服务器 CA
AT&T 目录服务
* 测试对象签名证书
正常运行时间集团有限公司1 类 CA
VeriSign 1 类主 CA
- -------------

可用于对对象进行签名的证书的左侧带有 *。

显示两个签名证书：Verisign 对象签名证书和测试对象
签名证书。

使用 -l 选项仅获取签名证书列表，包括签名 CA
为每个人。

签名工具 -l

使用证书目录：/u/jsmith/.netscape
对象签名证书
---------------------------------------

威瑞信对象签名证书
发行人：VeriSign, Inc. - Verisign, Inc.
到期：19 年 1998 月 XNUMX 日，星期二
测试对象签名证书
颁发者：测试对象签名证书（Signtool 1.0 Testing
证书 (960187691))
到期日：17 年 1998 月 XNUMX 日星期日
---------------------------------------

对于包含 CA 的列表，请使用 -L 选项。

签名 a 文件

1. 创建一个空目录。

mkdir 签名目录

2. 放入一些文件。

echo boo > signdir/test.f

3. 指定对象签名证书的名称并对目录进行签名。

signtool -k MySignCert -Z testjar.jar 签名目录

使用密钥“MySignCert”
使用证书目录：/u/jsmith/.netscape
正在生成 signdir/META-INF/manifest.mf 文件..
--> 测试.f
将 signdir/test.f 添加到 testjar.jar
正在生成 signtool.sf 文件..
为“Communicator Certificate DB”输入密码或 Pin 图：

将 signdir/META-INF/manifest.mf 添加到 testjar.jar
将 signdir/META-INF/signtool.sf 添加到 testjar.jar
将 signdir/META-INF/signtool.rsa 添加到 testjar.jar

树“signdir”签名成功

4. 测试您刚刚创建的存档。

签名工具-v testjar.jar

使用证书目录：/u/jsmith/.netscape
存档“testjar.jar”已通过加密验证。
状态路径
------------ --------------------
验证测试.f

运用 网景 签名 工具 - a 邮编 公用事业

要将 Netscape 签名工具与 ZIP 实用程序一起使用，您的路径中必须有该实用程序
环境变量。 您应该使用 zip.exe 实用程序而不是 pkzip.exe，后者
无法处理长文件名。 您可以使用 ZIP 实用程序代替 -Z 选项来
签名后将签名存档打包成 JAR 文件：

光盘签名

zip -r ../myjar.jar *
添加：META-INF/（存储0%）
添加：META-INF/manifest.mf（放气15%）
添加：META-INF/signtool.sf（缩小 28%）
添加：META-INF/signtool.rsa（存储0%）
添加：text.txt（存储0%）

发电 这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 Keys 和 认证证书

签名工具选项 -G 生成新的公私密钥对和证书。 它需要
新证书的昵称作为参数。 新生成的密钥和
证书安装到目录中的密钥和证书数据库中
由 -d 选项指定。 使用 Netscape 签名工具的 NT 版本，您必须使用
-d 选项和 -G 选项。 使用 Unix 版本的 Netscape 签名工具，省略
-d 选项使该工具在 Communicator 密钥中安装密钥和证书，并且
证书数据库。 在所有情况下，证书也会输出到一个名为
x509.cacert，其中包含 MIME 类型的应用程序/x-x509-ca-cert。

证书包含有关它们识别的实体的标准信息，例如
通用名称和组织名称。 Netscape 签名工具提示您提供此信息
当您使用 -G 选项运行命令时。 但是，所有请求的字段都是
可选的测试证书。 如果您不输入通用名称，该工具会提供一个
默认名称。 在以下示例中，用户输入以粗体显示：

签名工具 -G MyTestCert

使用证书目录：/u/someuser/.netscape
输入证书信息。 所有字段都是可选的。 可接受
字符是数字、字母、空格和撇号。
证书通用名称：测试对象签名证书
组织机构：Netscape Communications Corp.
组织单位：服务器产品事业部
州或省：加利福尼亚
国家（必须正好是 2 个字符）：美国
用户名：someuser
电子邮件地址： someuser@netscape.com
为“Communicator Certificate DB”输入密码或 Pin：[密码不会回显]
生成的公钥/私钥对
生成的证书请求
证书已签署
证书“MyTestCert”添加到数据库
将证书导出到 x509.raw 和 x509.cacert。

从标准输入读取证书信息。 因此，信息可
在某些操作系统中使用重定向运算符 (<) 从文件中读取。 创建一个
为此，请在单独的行上按顺序输入七个输入字段中的每一个。
确保在最后一行的末尾有一个换行符。 然后运行signtool
从您的文件重定向的标准输入如下：

signtool -G MyTestCert 输入文件

提示出现在屏幕上，但响应将自动从
文件。 密码仍会从控制台读取，除非您使用 -p 选项
在命令行上输入密码。

运用 这些因素包括原料奶的可用性以及达到必要粉末质量水平所需的工艺。 -M 附加选项 至 列表 智能 贺卡

您可以使用 -M 选项列出 PKCS #11 模块，包括智能卡，它们是
可用于签名工具：

signtool -d "c:\netscape\users\jsmith" -M

使用证书目录：c:\netscape\users\username
PKCS11 模块列表
-----------------------------------------------
1. Netscape 内部 PKCS #11 模块
（这个模块是内部加载的）
插槽：2个插槽
状态：已加载
插槽：Communicator 内部加密服务 4.0 版
令牌：Communicator Generic Crypto Svcs
slot：Communicator 用户私钥和证书服务
令牌：通信器证书数据库
2. 加密操作系统
（这是一个外部模块）
DLL 名称：core32
插槽：1个插槽
状态：已加载
插槽：Litronic 210
令牌：
-----------------------------------------------

运用 网景 签名 工具 和 a 智能 卡 至 标志 档

signtool 命令通常采用 -k 选项的参数来指定签名
证书。 要使用智能卡进行签名，您只需提供该智能卡的完全限定名称
证书。

要在运行 Communicator 时查看完全限定的证书名称，请单击安全
按钮，然后在左侧框架中的证书下单击您的。 完全
限定名称的格式为 smart card:certificate，例如“MyCard:My Signing
Cert”。您可以将这个名称与 -k 参数一起使用，如下所示：

signtool -k "MyCard:My Signing Cert" 目录

验证 FIPS协议 时尚

使用 -M 选项验证您是否在使用 FIPS-140-1 模块。

signtool -d "c:\netscape\users\jsmith" -M

使用证书目录：c:\netscape\users\jsmith
PKCS11 模块列表
-----------------------------------------------
1. Netscape 内部 PKCS #11 模块
（这个模块是内部加载的）
插槽：2个插槽
状态：已加载
插槽：Communicator 内部加密服务 4.0 版
令牌：Communicator Generic Crypto Svcs
slot：Communicator 用户私钥和证书服务
令牌：通信器证书数据库
-----------------------------------------------

这个 Unix 示例显示 Netscape 签名工具正在使用 FIPS-140-1 模块：

signtool -d "c:\netscape\users\jsmith" -M
使用证书目录：c:\netscape\users\jsmith
为“Communicator Certificate DB”输入密码或 Pin：[密码不会回显]
PKCS11 模块列表
-----------------------------------------------
1. Netscape 内部 FIPS PKCS #11 模块
（这个模块是内部加载的）
插槽：1个插槽
状态：已加载
插槽：Netscape 内部 FIPS-140-1 加密服务
令牌：通信器证书数据库
-----------------------------------------------

使用 onworks.net 服务在线使用 signtool