Opções importantes do SignTool:

• /ac - Especifique um Certificado Adicional.
• /a - Seleciona automaticamente o melhor certificado para assinar o arquivo do Windows Certificate Store.
• /fd SHA256 - Especifiqua o algoritmo usado nas assinaturas do arquivo.(Windows Vista e versões anteriores: esse sinalizador não é suportado).
• /t - Especifica a URL do servidor de Time Stamp.
• /td SHA256 - Deve ser chamado após '/tr', este comando especifica o Algoritmo do TimeStamp. *Recomendado*
• /sha1 Hash - Usado para selecionar o certificado de assinatura pelo SHA-1 Hash
• /csp CSPName - Especifica o provedor de serviços de criptografia (CSP) que contém o contêiner de chave privada.

---

O comando a seguir assina o arquivo utilizando um certificado armazenado em um arquivo PFX protegido por senha:

SignTool sign /f MyCert.pfx /p MyPassword MyControl.exe

O comando a seguir assina com carimbo de tempo (TimeStamp) que possibilta que suas assinaturas permaneçam válidas mesmo após a expiração do certficado: *Recomendado*

SignTool sign /f MyCert.pfx /t http://timestamp.sectigo.com/rfc3161 MyControl.exe

Para fazer o Dual Sign em seu aplicativo, execute os seguintes códigos um após o outro:

signtool.exe sign /f MyCert.pfx /p "PFX password" /t http://timestamp.sectigo.com /v foo.exe

signtool.exe sign /f MyCert.pfx /p "PFX password" /fd sha256 /tr http://timestamp.sectigo.com/?td=sha256 /td sha256 /as /v foo.exe

Para verificar se a assinatura foi bem-sucedida, use os seguintes comandos:

Authenticode: signtool verify /v /pa

Kernel Driver Signing: signtool verify /v /kp

---

Para maiores informações sobre o SignTool, acesse: https://docs.microsoft.com/en-us/windows/win32/appxpkg/how-to-sign-a-package-using-signtool