[コードサイニング証明書/EVコードサイニング証明書] Authenticode用 署名ツールの利用方法

  1. GMOグローバルサインサポート
  2. コードサイニング証明書サポート情報
  3. コードサイニング証明書設定
  4. [コードサイニング証明書/EVコードサイニング証明書] Authenticode用 署名ツールの利用方法
最終更新:2024年11月29日

こちらでは、Windows SDKのsigntoolを利用して、Microsoft Authenticode署名を行う手順をご紹介いたします。

※弊社では以下の手順にて動作検証をおこなった際の一例をご紹介しており、動作を保証するものではございません。本手順について内容の変更等や誤りがあった場合、弊社では一切の責任を負いかねることを予めご了承ください。詳細は各ツールのドキュメント等をご参照ください。
※アプリケーション提供元にてサポートが終了している場合、正常に動作しない可能性があります。
※Windowsの証明書ストアに証明書がインストールされていない場合は、事前にインストールしてください。
PKCS12形式の証明書をインポートする方法(Internet Explorer)
USBトークンを使用する場合、事前に証明書がUSBトークン内にインストールされていることを確認してください。確認方法はこちら

 

動画でも署名方法についてご案内しております。

  1. Microsoft社のデベロッパーセンターより、お客様の利用環境に対応するWindows SDKをダウンロードし、インストールします。

    デベロッパーセンター デスクトップ アプリ開発用ダウンロード
    ※SDKのサポートについては、マイクロソフト社にお問い合わせください。

  2. コマンドプロンプトを「管理者として実行」で起動後、signtoolコマンドのパスに移動します。

    C:¥>cd "¥Program Files (x86)¥Windows Kits¥8.1¥bin¥x86"

    ※パスの指定はお客様環境に合わせて変更ください。
    ※MS Authenticode対応コードサイニング証明書の場合、このパスに署名するファイルをコピーしておくと以降の作業が楽になります。

  3. 署名コマンドを実行します。(赤字の部分はお客様のファイル名、パスワード、コモンネームなどに置き換えてください。)

【コードサイニング証明書/EVコードサイニング証明書】をご利用の場合

※2023年4月24日以降に発行したコードサイニング証明書を使用する場合
※USBトークンに格納されている証明書を利用した署名方法はこちらに該当します。

以下のコマンドをご参照ください。

署名コマンド例
signtool sign /v /a /n "Common Name" /tr タイムスタンプURL /td sha256 /fd sha256 filename.exe

【コードサイニング証明書(PKCS12形式)】をご利用の場合

※2023年4月23日以前に発行したコードサイニング証明書を引き続きご利用の場合
※証明書が証明書ストアに格納されている場合、エクスポートしてPKCS12形式のファイルとして署名環境に置いておく必要があります。
Windows環境で証明書をエクスポートする方法

以下のコマンドをご参照ください。

署名コマンド例
signtool sign /v /f cert.pfx /p password /td sha256 /tr タイムスタンプURL /fd sha256 filename.exe

タイムスタンプURLについて

コードサイニング証明書(EVコードサイニング証明書)をご利用の場合は、別途タイムスタンプを付与可能です。タイムスタンプの詳細につきましては、下記の表をご参照ください。

R6ルート用タイムスタンプ

タイムスタンプURLhttp://timestamp.globalsign.com/tsa/r6advanced1
ルート搭載環境Windows Vista 以降
Windows Server 2008 SP1 以降
有効期限署名時から最低10年以上
署名ハッシュアルゴリズムSHA384

補足:署名を検証するコマンド

signtool verify /pa /v filename.exe