共用方式為


規劃 Office 2010 的數位簽章設定

 

適用版本: Office 2010

上次修改主題的時間: 2016-11-29

您可以使用 Microsoft Excel 2010、Microsoft PowerPoint 2010 及 Microsoft Word 2010 數位簽署文件。您也可以使用 Excel 2010、Microsoft InfoPath 2010 及 Word 2010 新增簽章行或簽章戳記。Microsoft Office 2010 支援 XAdES (XML 進階電子簽章),這是 XML-DSig 標準的一組延伸模組。此功能是在 2007 Microsoft Office 系統 中初次支援。

本文內容:

  • 什麼是數位簽章?

  • 數位憑證:自行簽名或由 CA 發出

  • 使用數位簽章

什麼是數位簽章?

數位簽署文件的原因有許多與在書面文件上簽上手寫簽名相同。數位簽章是 (透過使用密碼編譯演算法) 用以協助驗證數位資訊 (如文件、電子郵件訊息及巨集) 之建立者的身分識別。

數位簽章的基礎是數位憑證。數位憑證是信任的協力廠商 (稱為憑證授權單位 (CA)) 所發出之身分識別的檢查器。其運作方式與使用書面身分識別文件類似。例如,信任的協力廠商 (如政府機構) 或雇主發出身分識別文件 (如駕照、護照及員工識別卡),讓其他人用來驗證該人員就是他所宣稱的身分。

數位簽章的完成作業

數位簽章可協助建立下列驗證方法:

  • 驗證性   數位簽章及其基礎數位憑證可協助確保簽章者為其所宣稱的身分。此有助於防止其他人假冒為特定文件的建立者 (等同於書面文件的偽造)。

  • 完整性   數位簽章可協助確保自數位簽署之後未變更或篡改內容。這有助於防止文件在未辨識文件建立者的情況下遭到攔截及變更。

  • 不可否認性   數位簽章有助於證實所有團體就是簽署內容的源頭。「否認性」指的是簽章者拒絕與所簽署內容有任何關聯的行為。這有助於證實文件建立者是真正建立者,而不是其他人,且不論簽章者的宣稱為何。簽章者若未否認其數位金鑰,就無法否認該文件上的簽章,因此,也無法否認其他使用該金鑰簽署的文件。

數位簽章需求

若要建立這些條件,則內容建立者必須建立滿足下列準則的簽章,以數位簽署內容:

  • 數位簽章有效。作業系統信任的 CA 必須簽署作為數位簽章基礎的數位憑證。

  • 與數位簽章相關聯的憑證未到期,或是包含的時間戳記指出憑證在簽署時有效。

  • 未撤銷與數位簽章相關聯的憑證。

  • 收件者信任簽署人員或組織 (稱為發行者)。

Word 2010、Excel 2010 及 PowerPoint 2010 偵測到這些準則,並警告您,數位簽章似乎有問題。在 Office 2010 應用程式中出現的憑證工作窗格中,可以輕鬆地檢視問題憑證的資訊。Office 2010 應用程式可讓您在同一份文件中新增多個數位簽章。

商業環境中的數位簽章

下列狀況顯示在商業環境中如何數位簽署文件:

  1. 員工使用 Excel 2010 建立費用報表。接著,員工建立三個簽章行:其中一個是她自己的簽章行、另一個是她經理的簽章行,最後一個則是會計部門的簽章行。這些簽章行是用來識別員工是文件的建立者、移至經理及會計部門時未變更文件,並且證明經理及會計部門都已收到並檢閱過文件。

  2. 經理已收到文件,並在文件中加入她的數位簽章,以確認她已檢閱並核准文件。她接著將文件轉交給會計部門以進行付款。

  3. 會計部門中的代表人員收到文件並在其上簽名,確認已收到文件。

此範例示範可以在單一 Office 2010 文件中加入多個簽章。除了數位簽章之外,文件的簽章者還可以加入她實際簽章的圖形,或使用 Tablet PC 在文件的簽章行實際寫入簽章。此外尚有部門可使用的「橡皮圖章」功能,用以表示特定部門的成員已收到該文件。

相容性問題

如同 2007 Office System,Office 2010 也使用 XML-DSig 格式的數位簽章。此外,Office 2010 也新增 XAdES (XML 進階電子簽章) 支援。XAdES 是一組 XML-DSig 的多層延伸模組,各層級是依據前項所建置,提供更可靠的數位簽章。如需 Office 2010 中所支援 XAdES 層級的詳細資訊,請參閱本文稍後的<使用數位簽章>。如需 XAdES 詳細資料的詳細資訊,請參閱 XML 進階電子簽章 (XAdES)(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0x404)(可能為英文網頁) 的規格。

請記住,Office 2010 中所建立的數位簽章與早於 2007 Office System 的 Microsoft Office 版本不相容。例如,如果文件是使用 Office 2010 或 2007 Office System 中的應用程式進行簽署,並使用已安裝 Office 相容性套件的 Microsoft Office 2003 中的應用程式予以開啟,則系統會通知使用者:文件是由新版的 Microsoft Office 所簽署,因此將會遺失數位簽章。

下圖顯示的警告,指出在 Office 的較早版本中開啟文件時會移除數位簽章。

圖 1 相容性問題

而且,如果在 Office 2010 中針對數位簽章使用 XAdES,則除非設定「群組原則」設定 ([不要在資訊清單中包含 XAdES 參照物件]) 並將它設為 [停用],否則數位簽章會與 2007 Office System 不相容。如需數位簽章「群組原則」設定的詳細資訊,請參閱本文稍後的<設定數位簽章>。

如果您需要在 Office 2010 中建立的數位簽章與 Office 2003 及較早版本相容,則可以設定「群組原則」設定 ([舊版格式的簽章]) 並將它設為 [啟用]。此「群組原則」設定位於 [使用者設定\系統管理範本\(ADM\ADMX)\Microsoft Office 2010\簽署] 下。將此設定設為 [啟用] 之後,Office 2010 應用程式會使用 Office 2003 二進位格式,將數位簽章套用至在 Office 2010 中建立的 Office 97-2003 二進位文件。

數位憑證:自行簽名或由 CA 發出

數位憑證可以是自行簽名或是由組織中的 CA (如執行 Active Directory 憑證服務的 Windows Server 2008 電腦) 或公開 CA (如 VeriSign 或 Thawte) 發出。不想要設定組織的公開金鑰基礎結構 (PKI) 以及不想要購買商業憑證的人員及小型公司,一般會使用自我簽署憑證。

使用自我簽署憑證的主要缺點在於,您交換文件的對象,必須認識您本人且信任您是文件的實際建立者,這類憑證才適用。使用自行簽名憑證,不會有任何協力廠商驗證您憑證的驗證性。每個收到您簽署文件的人員都必須手動決定是否信任您的憑證。

在較大型組織中,有兩種取得數位憑證的主要方法:使用公司 PKI 所建立的憑證以及商業憑證。只想要在組織的其他員工之間共用簽署文件的組織,可能會偏好使用公司 PKI 來減少成本。而想要與其組織外部人員共用簽署文件的組織,則可能偏好使用商業憑證。

使用公司 PKI 所建立的憑證

組織可以選擇建立專屬的 PKI。在此狀況下,公司會設定一或多個憑證授權單位 (CA),以建立公司內電腦及使用者的數位憑證。如果與 Active Directory 目錄服務合併使用,則公司可以建立完整的 PKI 解決方案,這樣一來,所有公司管理的電腦都已安裝公司 CA 鏈結,而且會將數位憑證自動指定給使用者及電腦,以進行文件簽署及加密。這樣可讓公司中的所有員工自動信任來自相同公司之其他員工的數位憑證 (因此為有效數位簽章)。

如需詳細資訊,請參閱 Active Directory 憑證服務 (https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0x404)。

商業憑證

商業憑證是購買自其企業營運是銷售數位憑證的公司。使用商業憑證的主要優點是商業憑證廠商的根 CA 憑證會自動安裝至 Windows 作業系統,讓這些電腦自動信任這些 CA。而與公司 PKI 解決方案不同,商業憑證可讓您與不屬於您組織的使用者共用簽署文件。

商業憑證有三種:

  • 類別 1   類別 1 憑證是發給具有有效電子郵件地址的人員。類別 1 憑證適用於進行數位簽章、加密以及不需要身分證明之非商業交易的電子存取控制。

  • 類別 2   類別 2 憑證是發給人員及裝置。類別 2 個人憑證適用於進行數位簽章、加密以及交易中的電子存取控制,而交易是根據驗證資料庫中之資訊的身分證明就已足夠。類別 2 裝置憑證適用於進行裝置驗證;郵件、軟體及內容完整性,以及機密性加密。

  • 類別 3   類別 3 憑證是發給人員、組織、伺服器、裝置及 CA 及根授權單位 (RA) 的管理員。類別 3 個人憑證適用於進行數位簽章、加密以及必須確保身分證明之交易中的存取控制。類別 3 伺服器憑證適用於進行伺服器驗證;郵件、軟體及內容完整性,以及機密性加密。

如需商業憑證的詳細資訊,請參閱數位 ID - Office 服務商場 (https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0x404)。

使用數位簽章

您可以使用 Microsoft Excel 2010、Microsoft PowerPoint 2010 及 Microsoft Word 2010 數位簽署文件。您也可以使用 Excel 2010、Microsoft InfoPath 2010 及 Word 2010 新增簽章行或簽章戳記。以數位方式簽署具有數位憑證但不具有簽章行或戳記的文件,即稱為建立看不見的數位簽章。這兩種方法 (看得見及看不見的數位簽章) 都使用數位憑證來簽署文件。差異在於使用看得見的數位簽章行時,在文件內會以圖形呈現。如需如何新增數位簽章的詳細資訊,請參閱在 Office 檔案中新增或移除數位簽章 (https://go.microsoft.com/fwlink/?linkid=187659\&clcid=0x404)。

Office 2010 預設會建立 XAdES-EPES 數位簽章,而不管在建立數位簽章時使用自我簽署憑證或 CA 簽署的憑證。

下表列出 Office 2010 中可用的 XAdES 數位簽章層級 (其根據 XML-DSig 數位簽章標準)。每個層級都是根據先前的層級所建置,而且包含先前層級的所有功能。例如,除了 XAdES-X 引進的新功能之外,XAdES-X 也包含 XAdES-EPES、XAdES-T 及 XAdES-C 的所有功能。

簽章層級 描述

XAdES-EPES (基本)

將簽署憑證的資訊新增至 XML-DSig 簽章。這是 Office 2010 簽章的預設值。

XAdES-T (時間戳記)

新增時間戳記至簽章的 XML-DSig 及 XAdES-EPES 區段,有助於保護防止憑證到期。

XAdES-C (完整)

新增憑證鏈結及撤銷狀態資訊的參照。

XAdES-X (延伸)

將時間戳記新增至 XML-DSig SignatureValue 元素以及簽章的 -T 及 -C 區段。其他時間戳記可保護免於否認其他資料。

XAdES-X-L (延伸長期間)

與簽章一起儲存實際憑證及憑證撤銷資訊。這樣一來,即使無法使用憑證伺服器,還是可以進行憑證驗證。

時間戳記數位簽章

Office 2010 具有將時間戳記新增至數位簽章的功能,以協助延伸數位簽章的週期。例如,如果撤銷的憑證先前是用於建立數位簽章 (含有來自信任之時間戳記伺服器的時間戳記),則時間戳記是發生在撤銷憑證之前時,還是會將數位簽章視為有效。若要搭配使用時間戳記功能與數位簽章,則必須完成下列作業:

  • 設定符合 RFC 3161 標準的時間戳記伺服器

  • 使用「群組原則」設定 ([指定伺服器名稱]) 輸入時間戳記伺服器在網路上的位置。

您也可以設定下列一或多個「群組原則」設定,以設定其他時間戳記參數:

  • 設定時間戳記雜湊演算法

  • 設定時間戳記伺服器逾時

如果您未設定及啟用 [設定時間戳記雜湊演算法],則會使用預設值 SHA1。如果您未設定及啟用 [設定時間戳記伺服器逾時],則 Office 2010 等待時間戳記伺服器回應要求的預設時間為 5 秒。

設定數位簽章

除了用於設定時間戳記相關設定的「群組原則」設定之外,還是有其他「群組原則」設定可以設定組織中之數位簽章的設定及控制方式。下表列出設定名稱及描述。

設定 描述

產生簽章時需要 OCSP

此原則設定可讓您決定產生數位簽章時,Office 2010 是否需要鏈結中所有數位憑證的 OCSP (線上憑證狀態通訊協定) 撤銷資料。

指定產生數位簽章的最低 XAdES 層級

此原則設定可讓您指定建立 XAdES 數位簽章時,Office 2010 應用程式必須達到的最低 XAdES 層級。如果未達到最低 XAdES 層級,Office 應用程式便無法建立簽章。

檢查數位簽章的 XAdES 部分

此原則設定可讓您指定 Office 2010 驗證文件的數位簽章時,是否檢查數位簽章的 XAdES 部分 (若有的話)。

驗證簽章時不允許到期的憑證

此原則設定可讓您設定 Office 2010 應用程式驗證數位簽章時是否接受到期的數位憑證。

不要在資訊清單中包含 XAdES 參照物件

此原則設定可讓您決定資訊清單中是否要出現 XML 進階電子簽章 (XAdES) 參照物件。如果您想要 2007 Office System 可以讀取含有 XAdES 內容的 Office 2010 簽章,則必須將設定設定為 [停用];否則,2007 Office System 會將含有 XAdES 內容的簽章視為無效。

選取數位簽章雜湊演算法

此原則設定可讓您設定 Office 2010 應用程式確認數位簽章時使用的雜湊演算法。

設定簽章驗證層級

此原則設定可讓您設定 Office 2010 應用程式驗證數位簽章時使用的驗證層級。

產生簽章所要求的 XAdES 層級

此原則設定可讓您指定建立數位簽章時所要求的或理想的 XAdES 層級。

其他數位簽章相關「群組原則」設定如下:

  • 金鑰使用方式篩選

  • 設定預設圖像目錄

  • EKU 篩選

  • 舊版格式的簽章

  • 隱藏 Office 簽署提供者

  • 隱藏外部簽章服務功能表項目

如需每個「群組原則」設定的詳細資訊,請參閱 Office 2010 之系統管理範本檔案所含的說明檔。如需系統管理範本檔案的詳細資訊,請參閱<Office 2010 的群組原則概觀>。

注意

如需原則設定的最新資訊,請參閱 Microsoft Excel 2010 活頁簿 Office2010GroupPolicyAndOCTSettings_Reference.xls (位於 Office 2010 系統管理範本檔案 (ADM、ADMX、ADML) 及 Office 自訂工具(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x404)(可能為英文網頁) 下載頁面的<此下載中的檔案>區段中)。