Como assinar aplicativos .EXE via linha de comando (Signtool)

Prepare seu Computador e Token de Segurança para Assinatura de Arquivos via linha de comando com o SignTool

Token de Segurança

• Conecte o Token fornecido pela Activeweb em uma porta USB de seu computador.
• O token por padrão, já é enviado com o certificado dentro e a senha de acesso, é enviada por e-mail.

Windows SDK

Instale o Windows SDK em seu computador. Clique aqui para baixar (caso ainda não possua).

Assine seus Arquivos

Use o comando SignTool para assinar seus arquivos. Você pode executar o método automático ou o manual, conforme descrito abaixo.

Automático vs. Manual

Se você tiver mais de um Certificado de Assinatura de Código em seu computador, recomendamos que selecione manualmente qual certificado usar. Ao executar qualquer um dos comandos do SignTool, **modifique a seção entre aspas **para corresponder ao(s) seu(s) nome(s) de arquivo. Após executar o comando, será solicitado que você insira a senha do seu token. (esta senha foi enviada por e-mail)

Selecionar Automaticamente o Certificado de Assinatura

Seguindo as etapas abaixo, o SignTool selecionará automaticamente o certificado de assinatura de código que será usado:

1. Abra o Prompt de Comando como administrador.
2. Execute o seguinte comando: signtool sign /tr http://timestamp.digicert.com /td sha256 /fd sha256 /a "c:\caminho\para\arquivo_a_ser_assinado.exe
3. No comando, substitua "C:\caminho\para\arquivo_a_ser_assinado.exe" pelo caminho exato onde o arquivo que você pretende assinar está localizado.

Você deverá receber uma confirmação de que o arquivo foi assinado e recebeu o carimbo de data/hora (timestamp) com sucesso.

Especificar Manualmente um Certificado de Assinatura

Você pode especificar o certificado exato que deseja usar através do comando manual abaixo:

Obtenha o Nome do Assunto (Subject Name) do Certificado:

1. Vá ao menu Iniciar, digite certmgr.msc e pressione Enter.
2. Na janela do certmgr, expanda Pessoal > Certificados para listar todos os certificados instalados para essa conta de usuário.
3. O nome do assunto do certificado é o texto listado na coluna Emitido Para.

Execute o comando:

No comando abaixo, substitua "nome do assunto" pelo nome do seu certificado e "C:\caminho\para\arquivo_a_ser_assinado.exe" pelo caminho exato do arquivo:

signtool sign /tr http://timestamp.digicert.com /td sha256 /fd sha256 /n "nome do assunto" "C:\caminho\para\arquivo_a_ser_assinado.exe"

Informações Adicionais

Assinatura de Arquivos em Lote (Batch Signing)

Para assinar arquivos em lote, você deve habilitar o logon único (single sign-on) para o Token SafeNet. Uma vez ativado e após você ter feito o logon no token, poderá assinar vários arquivos inserindo a senha apenas uma vez por sessão de usuário.

Como habilitar o Logon Único para um Token SafeNet:

1. Abra o SafeNet Authentication Client Tools. (Caminho: Iniciar > Arquivos de Programas > Safenet > Safenet Authentication Client Tools).
2. Clique no ícone de Exibição Avançada (engrenagem dourada).
3. Na árvore de menus no painel esquerdo, selecione Configurações do Cliente (Client Settings).
4. No painel direito, selecione a guia Avançado (Advanced).
5. Na guia Avançado, marque a opção Habilitar logon único (Enable single login).
6. Clique em Salvar.
7. Para ativar o recurso, faça logoff do computador e entre novamente.

Para mais informações sobre as diferentes opções do signtool.exe, consulte a Documentação do SignTool da Microsoft.

Atualizado em: 13/04/2026