Compartilhar via


Referência da CLI do Sign para pacotes VSIX

sign - Ferramenta Dotnet usada para assinar arquivos e contêineres usando certificados PFX, CER ou P7B em disco ou do WCM (Gerenciador de Certificados do Windows), CSP (Provedores de Serviços Criptográficos) ou Azure Key Vault.

Importante

A CLI do Sign só dá suporte a SHA-256, SHA-384 e a SHA-512 como algoritmos de impressão digital válidos. Você pode usar o PowerShell para obter impressões digitais usando: Get-FileHash -Algorithm SHA256 <path to .cer file> | Format-Table -AutoSize

Importante

A CLI do Sign suporta RSA apenas algoritmos, portanto, o uso ECDSA para gerar sua impressão digital falhará na validação da assinatura durante a instalação. Isso não bloqueia a instalação, mas um aviso de "Assinatura inválida" será exibido na janela do Instalador do VSIX durante a instalação.

Sinopse

sign code certificate-store [<PATH(s)>]
    [-cf|--certificate-file <PATH>]
    [-p|--password <PASSWORD>]
    [-cfp|--certificate-fingerprint <SHA>]
    [-csp|--crypto-service-provider <CSPNAME>]
    [-k|--key-container <HASHALGORITHM>]
    [-km|--use-machine-key-container]
    [-d|--description <DESCRIPTION>]
    [-u|--descriptionUrl <URL>]
    [-fd|--file-digest <DIGEST>]
    [-t|--timestamp-url <URL>]
    [-tr|--timestamp-rfc3161 <URL>]
    [-td|--timestamp-digest <DIGEST>]
    [-o|--output <PATH>]
    [-b|--base-directory <wORKINGDIRECTORY>]
    [-f|--force]
    [-m|--max-concurrency <MAXCONCURRENCY>]
    [-fl|--filelist <FILELISTPATH>]
    [-i]|--interactive

sign code certificate-store -h|--help

Descrição

Sign CLI é uma ferramenta Dotnet que assina recursivamente arquivos e contêineres com um certificado e privado. O certificado e a chave privada podem ser obtidos de um arquivo (PFX, P7B, CER) ou de um certificado instalado em um repositório de certificados, fornecendo um SHA-256, SHA-384, ou SHA-512 impressão digital. As chaves USB podem ser acessadas usando um CSP (Provedor de Serviços Criptográficos ) implementado pelo fabricante e acessado do repositório de certificados.

Instalação

Instale a CLI do Sign globalmente usando dotnet tool install sign --prerelease --global

Instalação offline da CLI do Sign

Para ambientes isolados, você pode baixar um pacote NuGet da CLI do Sign e instalá-lo usando:

dotnet tool install --global --add-source <path-to-folder> <tool-name> --version <version>

Argumentos

  • VSIX-paths(s)

    Especifica os caminhos para o pacote VSIX a ser assinado.

Opções

  • -cf|--certificate-file <PATH>

    PFX, P7B ou CER contendo um certificado e potencialmente uma chave privada.

  • -p|--password <PASSWORD>

    Senha opcional para arquivo de certificado.

  • -cfp|--certificate-fingerprint <SHA>

    Impressão digital SHA-256, SHA-384 ou SHA-512 usada para identificar um certificado antes da assinatura.

  • -csp|--crypto-service-provider <CSP NAME>

    Provedor de serviços criptográficos contendo uma chave privada.

    Observação

    Você pode ver todos os CSPs disponíveis executando certutil -csplisto , em que os CSPs herdados especificam um "Tipo de provedor" e os provedores de CNG geralmente têm "Provedor de armazenamento de chaves" em seus nomes. certutil -csptest "<provider name>" fornece mais informações sobre provedores específicos.

  • -k|--key-container <CONTAINER NAME>]

    Nome do contêiner de chave privada.

    Observação

    Você pode encontrar todas as chaves armazenadas em um CSP executando certutil -csp <Provider Name> -keyo .

  • -km|--use-machine-key-container]

    Use um contêiner de chave privada no nível do computador em vez do contêiner padrão no nível do usuário.

  • -d|--description <DESCRIPTION>

    Descrição do certificado de autenticação.

  • -u|--descriptionUrl <URL>

    Descrição URL do certificado de autenticação.

  • -fd | --file-digest <DIGEST>

    Algoritmo de resumo para hash do arquivo.

  • -t|--timestamp-url <URL>

    URL do servidor de carimbo de data/hora RFC 3161. [padrão: http://timestamp.acs.microsoft.com/]

  • -tr | --timestamp-rfc3161 <URL>

    Especifica a URL do servidor de carimbo de data/hora RFC 3161.

  • -td|--timestamp-digest <DIGEST>

    Usado com -tr switch para solicitar um algoritmo de resumo usado pelo servidor de carimbo de data/hora RFC 3161.

  • -o|--output <PATH>

    O arquivo ou pasta de saída, se vários arquivos forem especificados. Se omitido, a entrada será substituída.

  • -b|--base-directory <PATH>

    Diretório base para arquivos para substituir o diretório de trabalho.

  • --f|--force

    Substitui uma assinatura, se ela existir.

  • -m|--max-concurrency <MAXCONCURRENCY>

    Simultaneidade máxima (o padrão é 4)

  • -fl | --filelist <PATH>

    Caminho para o arquivo que contém caminhos de arquivos a serem assinados ou excluídos da assinatura dentro do contêiner.

  • -?|-h|--help

    Imprime uma descrição de como usar o comando.

  • -i|--interactive

    Solicite a entrada do usuário, o que é necessário em alguns cenários, como ao usar uma chave protegida pelo usuário, em que uma senha deve ser inserida pelo usuário.

Exemplos

  • Assine contoso.vsix com um certificado importado para o repositório de certificados do usuário :

    sign code certificate-store contoso.vsix -cfp 24D589...FB9523B36E -d "Constoso VSIX Signature" -u "http://www.contoso.com"
    
  • Assine contoso.vsix com o certificado cert.pfx (não protegido por senha) usando uma impressão digital SHA-512:

    sign code certificate-store contoso.vsix -cfp A87A6F...894559B981 -cfpa sha512 -cf D:\certificates\cert.pfx -d "Constoso VSIX Signature" -u "http://www.contoso.com"
    
  • Assine contoso.vsix com o certificado cert.pfx (protegido por senha):

    sign code certificate-store contoso.vsix -cfp 24D589...FB9523B36E -cf cert.pfx -p <password> -d "Constoso VSIX Signature" -u "http://www.contoso.com"
    
  • Assine vários pacotes VSIX – contoso.vsix e todos os arquivos .vsix no diretório especificado com o certificado cert.pfx (não protegido por senha):

    sign code certificate-store *.vsix -cfp 24D589...FB9523B36E -cf cert.pfx -d "Constoso VSIX Signature" -u "http://www.contoso.com"
    
  • Assine contoso.vsix com um certificado armazenado em uma unidade USB segura.

    sign code certificate-store contoso.vsix -cfp 24D589...FB9523B36E -csp "Microsoft Software Key Storage Provider" -k "VsixSigning 0B2D249223B36D00A7DF07FB95E24D58" -d "Constoso VSIX Signature" -u "http://www.contoso.com"
    
  • Assine contoso.vsix com um certificado armazenado em uma unidade USB segura e acessado do repositório de certificados do computador (opção -km).

    sign code certificate-store contoso.vsix -cfp 24D589...FB9523B36E -csp "Microsoft Software Key Storage Provider" -k "VsixSigning 0B2D249223B36D00A7DF07FB95E24D58" -km -d "Constoso VSIX Signature" -u "http://www.contoso.com"
    

    Observação

    Quando -k a opção não é fornecida, a ferramenta verifica todos os contêineres no CSP fornecido em busca de um certificado de impressão digital SHA correspondente.

  • Assine contoso.vsix com um certificado armazenado em uma unidade USB segura especificando o algoritmo de resumo de arquivo (-fd), o servidor de carimbo de data/hora (-t) e um caminho de saída personalizado (-o) para o VSIX assinado.

    sign code certificate-store contoso.vsix -cfp 24D589...FB9523B36E -csp "Microsoft Software Key Storage Provider" -k "VsixSigning 0B2D249223B36D00A7DF07FB95E24D58" -d "Constoso VSIX Signature" -u "http://www.contoso.com" -t "http://timestamp.acs.microsoft.com/" -fd sha256 -o "ContosoSigned.vsix"