规划 Office 2010 的数字签名设置
适用于: Office 2010
上一次修改主题: 2016-11-29
您可以使用 Microsoft Excel 2010、Microsoft PowerPoint 2010 和 Microsoft Word 2010 对文档进行数字签名。还可以使用 Excel 2010、Microsoft InfoPath 2010 和 Word 2010 添加签名行和签名戳。Microsoft Office 2010 包括 XAdES(XML 高级电子签名)支持,这是 XML-DSig 标准的一组扩展。最早在 2007 Microsoft Office system 中支持此功能。
本文内容:
什么是数字签名?
数字证书:自签名或者由 CA 颁发
使用数字签名
什么是数字签名?
对纸质文档进行手写签名的情况,同样也适用于对文档进行数字签名。通过使用加密算法,数字签名用于帮助对数字信息(如文档、电子邮件和宏)的创建者的身份进行身份验证。
数字签名基于数字证书。数字证书是受信任第三方颁发的身份验证程序,受信任第三方也就是证书颁发机构 (CA)。它的作用类似于使用纸质身份证件。例如,受信任第三方,如政府实体或雇主,颁发身份证书 — 如驾驶证、护照和员工 ID 卡 — 其他人要依靠这些身份证书来验证一个人是否确实是他/她所声明的身份。
数字签名有什么作用
数字签名可帮助确立下列身份验证措施:
真实性 数字签名及其基础数字证书可帮助确保签名者符合其真实的身份。这样有助于阻止其他人假冒某个证书的原始所有者(相当于伪造纸质证书)。
完整性 数字签名有助于确保内容在进行数字签名以后未经更改或篡改。这样有助于防止文档在原始所有者不知情的情况下被拦截和更改。
不可否认性 数字签名有助于向所有各方证明签名内容的来源。“否认”指签名者否认与签名内容有任何关联的行为。这样可以证明文档的原始所有者就是真正的所有者,而不是任何其他人,无论签名者声称自己的身份是什么。如果签名者不否认其数字密钥,就不能否认对文档的签名,因此,也不能否认用该密钥签名的其他文档。
数字签名的要求
若要建立这些条件,内容创建者必须通过创建满足以下条件的签名来对内容进行数字签名:
数字签名有效。受操作系统信任的 CA 必须对数字签名所基于的数字证书进行签名。
与数字签名关联的证书没有过期,或者包含指示证书在签名时有效的时间戳。
与数字签名关联的证书未被注销。
签名者或组织(也就是发布者)是受接收者信任的。
Word 2010、Excel 2010 和 PowerPoint 2010 为您检测这些条件,如果有数字签名似乎有问题,会向您发出警告。在 Office 2010 应用程序中显示的证书任务窗格中可轻松地查看关于有问题的证书的信息。Office 2010 应用程序允许您向同一个文档添加多个数字签名。
公司环境中的数字签名
以下案例说明如何在公司环境中使用文档的数字签名:
员工使用 Excel 2010 创建费用报表。然后员工创建三个签名行:一个是员工自己的签名行,一个是经理的签名行,还有一个是会计部门的签名行。这些签名行用于确定该员工是文档的原始所有者,在文档转移到经理和会计部门的过程中文档不会发生更改,并且可以证明经理和会计部门都收到文档并进行了审查。
经理收到文档,将她自己的数字签名添加到文档,确认她已经审查并批准文档。然后她将文档转发给会计部门进行付款。
会计部门的工作人员收到文档,然后对其进行签名,确认收到文档。
此示例说明可以将多个签名添加到一个 Office 2010 文档。除了数字签名,文档的签名者还可以添加其实际签名的图形,或使用 Tablet PC 将签名手写到文档中的签名行。部门可使用一个名为“橡皮章”的功能,它表示特定部门的某个成员已收到文档。
兼容性问题
Office 2010 与 2007 Office system 一样,使用 XML-DSig 格式进行数字签名。此外,Office 2010 已添加了对 XAdES(XML 高级电子签名)的支持。XAdES 是 XML-DSig 的一组分层扩展。其级别基于早期版本,以提供更可靠的数字签名。有关 Office 2010 中支持的 XAdES 级别的详细信息,请参阅本文后面的使用数字签名。有关 XAdES 的详细信息,请参阅 XML 高级电子签名 (XAdES)(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0x804)(该链接可能指向英文页面)的规范。
很重要的一点是,要知道 Office 2010 中创建的数字签名与早于 2007 Office system 的 Microsoft Office 版本不兼容。例如,如果文档是使用 Office 2010 或 2007 Office system 中的应用程序进行签名,并使用安装了 Office 兼容包的 Microsoft Office 2003 中的应用程序打开,则用户将被告知该文档是用更新版本的 Microsoft Office 签名的,而且数字签名将丢失。
下图显示警告,使用 Office 早期版本打开文档时将删除数字签名。
.jpg "图 1:兼容性问题")
另外,如果 XAdES 用于 Office 2010 中的数字签名,则数字签名不会与 2007 Office system 兼容,除非您配置组策略设置“不将 XAdES 引用对象包含在指令清单中”,然后将其设为“禁用”。有关数字签名组策略设置的详细信息,请参阅本文后面的配置数字签名。
如果您需要 Office 2010 中创建的数字签名与 Office 2003 及其早期版本兼容,可以配置组策略设置“旧式格式签名”,然后将其设为“启用”。此组策略设置位于“用户配置”\“管理模板”\“(ADM\ADMX)”\“Microsoft Office 2010”\“签名”下。此设置设为“启用”后,Office 2010 应用程序使用 Office 2003 二进制格式将数字签名用于 Office 2010 中创建的 Office 97–2003 二进制文档。
数字证书:自签名或者由 CA 颁发
数字证书可以自签名或由组织中的 CA 颁发,如运行 Active Directory 证书服务的 Windows Server 2008 计算机或公共 CA,如 VeriSign 或 Thawte。自签名证书通常由个人以及不希望在其组织中设置公钥基础结构 (PKI) 且不希望购买商业证书的小型公司使用。
使用自签名证书的主要缺点是,它只有在您与其他私下认识您并且确信您是文档的实际原始所有者的人交换文档时才有用。使用自签名证书时,没有第三方来验证您的证书的真实性。收到签名文档的每个人都必须手动地确定是否信任您的证书。
对于较大的组织,可以使用两种主要方法来获得数字证书:使用公司 PKI 创建的证书和商业证书。希望仅在组织的其他员工中共享签名文档的组织可能更愿意使用公司 PKI,以减少成本。希望与组织之外的人共享签名文档的组织可能更愿意使用商业证书。
使用公司 PKI 创建的证书
组织可以选择创建自己的 PKI。如果是这样,公司将设置一个或多个可为公司内的计算机及用户创建数字证书的证书颁发机构 (CA)。与 Active Directory 目录服务结合使用时,公司可以创建完整的 PKI 解决方案,这样公司管理的所有计算机都安装公司 CA 链接,用户和计算机都自动被分配文档的数字证书,以便进行文档签名和加密。从而使公司的所有员工都能自动信任来自公司其他员工的数字证书(因此,信任有效的数字签名)。
有关详细信息,请参阅 Active Directory 证书服务 (https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0x804)。
商业证书
商业证书是从业务范围为销售数字证书的公司购买的。使用商业证书的主要优点是商业证书供应商的根 CA 证书自动安装在 Windows 操作系统上,从而使那些计算机能自动信任这些 CA。与公司 PKI 解决方案不同,商业证书允许您与不属于您所在组织的用户共享您的签名文档。
有三种商业证书:
1 类 1 类证书颁发给具有有效电子邮件地址的人。1 类证书适用于不需要身份证明的非商业交易的数字签名、加密和电子访问控制。
2 类 2 类证书颁发给个人和设备。2 类个人证书适用于基于验证数据库中的信息的身份证明即可满足要求的交易中的数字签名、加密和电子访问控制。2 类设备证书适用于设备验证;邮件、软件和内容的完整性;以及机密内容加密。
3 类 3 类证书颁发给个人、组织、服务器、设备以及 CA 和根证书颁发机构 (RA) 的管理员。3 类个人证书适用于必须确认身份证明的交易中的数字签名、加密和访问控制。3 类服务器证书适用于服务器身份验证;邮件、软件和内容的完整性;以及机密内容加密。
有关商业证书的详细信息,请参阅数字标识 – Office 市场 (https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0x804)。
使用数字签名
您可以使用 Microsoft Excel 2010、Microsoft PowerPoint 2010 和 Microsoft Word 2010 对文档进行数字签名。还可以使用 Excel 2010、Microsoft InfoPath 2010 和 Word 2010 添加签名行或签名戳。对具有数字证书但没有签名行或签名戳的文档进行数字签名即是创建不可见的数字签名。这两种方法,可见数字签名和不可见数字签名,都使用数字证书对文档进行签名。不同之处在于使用可见数字签名行时文档内的图形表示。有关如何添加数字签名的详细信息,请参阅在 Office 文件中添加或删除数字签名 (https://go.microsoft.com/fwlink/?linkid=187659\&clcid=0x804)。
默认情况下,Office 2010 创建 XAdES-EPES 数字签名,无论在创建数字签名期间使用的是自签名证书还是 CA 签名的证书。
下表列出了 Office 2010 中提供的基于 XML-DSig 数字签名标准的 XAdES 数字签名级别。每个级别都建立在上一级别的基础上,并且包含以前级别的所有功能。例如,除了 XAdES-X 中引入的新功能,XAdES-X 还包含 XAdES-EPES、XAdES-T 和 XAdES-C 的所有功能。
| 签名级别 | 说明 |
|---|---|
XAdES-EPES(基本) |
将有关签名证书的信息添加到 XML-DSig 签名。这是 Office 2010 签名的默认设置。 |
XAdES-T(时间戳) |
将时间戳添加到签名的 XML-DSig 和 XAdES-EPES 部分,这有助于防止证书过期。 |
XAdES-C(完整) |
添加对证书链和吊销状态信息的引用。 |
XAdES-X(扩展) |
将时间戳添加到签名的 XML-DSig SignatureValue 元素以及 –T 和 –C 部分。额外的时间戳防止额外的数据被否认。 |
XAdES-X-L(扩展的长期) |
将实际证书和证书吊销信息与签名存储在一起。这样即使在证书服务器不可用时,仍可实现证书验证。 |
时间戳数字签名
Office 2010 能将时间戳添加到数字签名,此功能有助于延长数字签名的使用期限。例如,如果吊销的证书以前用于创建数字签名,它包含来自受信任时间戳服务器的时间戳,那么如果该时间戳出现在证书吊销之前,则数字签名仍然视为有效。若要将时间戳功能与数字签名一起使用,您必须完成以下操作:
设置与 RFC 3161 兼容的时间戳服务器
使用组策略设置“指定服务器名称”输入时间戳服务器在网络上的位置。
您还可以通过配置以下一项或多项组策略设置来配置额外的时间戳参数:
配置时间戳哈希算法
设置时间戳服务器超时
如果您不配置和启用“配置时间戳哈希算法”,将使用 SHA1 的默认值。如果您不配置和启用“设置时间戳服务器超时”,Office 2010 将等待时间戳服务器响应请求的默认时间为 5 秒钟。
配置数字签名
除了用于配置与时间戳相关的设置的组策略设置,还有其他组策略设置可配置数字签名在组织中的配置和控制方式。设置名称和说明如下所列。
| 设置 | 说明 |
|---|---|
签名生成时要求 OCSP |
此策略设置允许您确定,生成数字签名时,Office 2010 是否需要链中的所有数字证书的 OCSP(在线证书状态协议)吊销数据。 |
指定数字签名生成的最低 XAdES 级别 |
此策略设置允许您指定为创建 XAdES 数字签名 Office 2010 应用程序必须达到的最低 XAdES 级别。如果不能达到最低 XAdES 级别,Office 应用程序就不创建签名。 |
检查数字签名的 XAdES 部分 |
此策略设置允许您指定 Office 2010 验证文档的数字签名时是否检查数字签名的 XAdES 部分(如果有)。 |
验证签名时不允许过期的证书 |
此策略设置允许您配置 Office 2010 应用程序在验证数字签名时是否接受过期数字证书。 |
不将 XAdES 引用对象包含在指令清单中 |
此策略设置允许您确定 XAdES 引用对象是否应该出现在指令清单中。如果您希望 2007 Office system 能读取包含 XAdES 内容的 Office 2010 签名,必须将此设置配置为“禁用”,否则,2007 Office system 会将包含 XAdES 内容的签名视为无效。 |
选择数字签名哈希算法 |
此策略设置允许您配置 Office 2010 应用程序用于确认数字签名的哈希算法。 |
设置签名验证级别 |
此策略设置允许您设置 Office 2010 应用程序在验证数字签名时使用的验证级别。 |
签名生成的请求的 XAdES 级别 |
此策略设置允许您指定在创建数字签名时请求的或需要的 XAdES 级别。 |
与组策略设置相关的额外数字签名如下所示:
密钥用法筛选
设置默认图像目录
增强型密钥用法筛选
旧式格式签名
禁止 Office 签名提供程序
禁止外部签名服务菜单项
有关每个组策略设置的详细信息,请参阅随 Office 2010 的管理模板文件一起提供的帮助文件。有关管理模板文件的详细信息,请参阅 Office 2010 组策略概述。
备注
有关策略设置的最新信息,请参考 Microsoft Excel 2010 工作簿 Office2010GroupPolicyAndOCTSettings_Reference.xls,可从 Office 2010 管理模板文件(ADM、ADMX、ADML)和 Office 自定义工具(该链接可能指向英文页面) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x804)(该链接可能指向英文页面) 下载页上的“此下载中的文件”部分获得该工作簿。