規劃 Office 2013 的數位簽章設定

  • 發行項

 

適用版本: Office 2013

上次修改主題的時間: 2016-12-16

摘要:說明在 Excel 2013、PowerPoint 2013 及 Word 2013 文件中如何支援 XAdES 數位簽章。

對象: IT 專業人員

就像在書面文件上手寫簽名一樣,同樣的道理,使用者也會以數位方式來簽署 Office 2013Excel、PowerPoint 或 Word 文件。數位簽章採用密碼編譯演算法,協助驗證數位資訊建立者的身分,例如文件、電子郵件及巨集。

數位簽章以數位憑證為基礎。數位憑證是由稱為憑證授權單位 (CA) 的受信任第三方所發行的身分證明。作用類似於使用書面身分識別文件。例如,受信任第三方 (如政府機構或雇主) 會發行身分識別文件,像是駕駛執照、護照及員工識別證。其他人依賴這些文件來驗證某人宣稱的身分真偽。

本文包含 Office 2013 中最新引進的數位簽章登錄機碼。

Office 安全性之指南的藍圖箭號

本文為<Office 2013 安全性的內容藍圖>的一部分。請使用藍圖做為協助您評估 Office 2013 安全性之文章、下載檔、海報及影片的起點。

您需要在桌上型電腦上處理 Office 2013 數位簽章設定的幫助嗎? 您可以參閱下列其中一篇文章,協助您確保桌上型電腦中的 Office 2013 的安全。

本文內容:

  • 數位簽章簡介及如何在 Office 2013 中使用

  • 選擇 Office 2013 的數位憑證類型

  • 規劃 Office 2013 文件中的數位簽章層級

數位簽章簡介及如何在 Office 2013 中使用

數位簽章可協助建立下列驗證措施:

  • 真實性   數位簽章及其基礎數位憑證有助於確保某人宣稱的身分真偽。這有助於防止他人假冒特定文件的建立者,就像是偽造文件一樣。

  • 完整性   數位簽章有助於確保內容經過數位簽署之後未遭到變更或篡改。這有助於防止文件在未經文件建立者同意之前遭到攔截和變更。

  • 不可否認性   數位簽章有助於向各方證明所簽署內容的出處。「否認」是指簽署者拒絕承認與所簽署內容有任何關聯。數位簽章有助於證明文件建立者確為其人,並非其他人,而不論簽署者的主張為何。簽署者除非否認其數位金鑰,以及使用該金鑰所簽署的其他文件,不然就難以否認該文件上的簽章。

Office 2013 的數位簽章需求

若要建立這些條件,內容建立者必須建立符合下列準則的簽章,然後以數位方式簽署內容:

  • 數位簽章有效。作業系統所信任的 CA 必須簽署數位簽章所使用的數位憑證。

  • 與數位簽章相關聯的憑證未過期,或者,包含的時間戳記指出憑證在簽署時有效。

  • 與數位簽章相關聯的憑證未撤銷。

  • 收件者信任簽署人或組織 (稱為發行者)。

Word 2013、Excel 2013 及 PowerPoint 2013 會偵測這些條件,如果數位簽章有問題,則警告使用者。在 Office 2013 應用程式的憑證工作窗格中,可輕鬆檢視有問題之憑證的相關資訊。Office 2013 應用程式可讓您在相同文件中新增多個數位簽章。

Office 2013 商務環境中的數位簽章

下列案例示範如何在商務環境的文件上使用數位簽章:

  1. 有一位員工使用 Excel 2013 建立費用報表。然後,該員工建立三個簽名欄:一個供自己使用、一個供主管使用,另一個供會計部門使用。簽章的用途:

    • 識別員工是文件的建立者

    • 指出文件在呈報給主管和會計部門的過程中未經變更

    • 證明主管和會計部門都已收到並已審閱文件

  2. 主管收到文件,在文件中加上數位簽章,以確認她已審閱並已核准文件。然後,主管將文件轉遞給會計部門來支付款項。

  3. 會計部門的代表收到文件並簽署,確認收到文件。

此範例顯示在單一 Office 2013 文件中新增多個簽章的功能。除了數位簽章,文件的簽署者也可以新增實際簽章的圖形,或使用利用 Tablet PC 實際將簽章寫在文件中的簽名欄。

與 Office 2013 以前之 Office 文件的相容性問題

和 Office 2010 和 Office 2007 一樣,Office 2013 也採用 XML-DSig 格式的數位簽章。此外,Office 2013 還支援 XAdES (XML 進階電子簽章)。XAdES 是 XML-DSig 的一組分層延伸,各層級依賴先前的層級,形成更可靠的數位簽章。如需 Office 2013 中支援之 XAdES 層級的詳細資訊,請參閱本文稍後的<規劃 Office 2013 文件中的數位簽章層級>。如需 XAdES 的詳細資訊,請參閱<XML 進階電子簽章 (XAdES)>的規格。

請注意,Office 2013 中建立的數位簽章與 2007 Office System 之前的 Office 版本不相容。例如,若使用 Office 2013、Office 2010 或 Office 2007 中的應用程式簽署文件,然後在已安裝 Office 相容性套件的 Office 2003 中使用應用程式開啟文件,則會通知使用者文件是在較新版的 Office 中簽署,且已遺失數位簽章。

下圖顯示使用者在 Office 2007 以前的 Office 版本中開啟文件之後會看到的警告。

原本在 Office 2013 或更早版本中簽署之文件的數位簽章警告。

圖 1 相容性問題

此外,如果您在 Office 2013 中使用 XAdES 建立數位簽章,除非設定群組原則設定 [不要在資訊清單中包含 XAdES 參照物件],並設為 [啟用],否則數位簽章與 Office 2010 或 2007 Office System 就不相容。如需數位簽章群組原則設定的詳細資訊,請參閱本文稍後的<規劃 Office 2013 數位簽章設定>。

如果您希望在 Office 2013 中建立的數位簽章與 Office 2003 及更早的版本相容,可以設定群組原則設定 [舊版格式的簽章],並設為 [啟用]。此群組原則設定位於 User Configuration\Administrative Templates\Microsoft Office 2013\Signing 下。將此設定變更為 [啟用] 之後,Office 2013 應用程式就會使用 Office 2003 二進位格式,將數位簽章套用至您在 Office 2013 中建立的 Office 97–2003 二進位文件。如需詳細資訊,請參閱<Office 2013 系統管理範本檔案 (ADMX/ADML) 和 Office 自訂工具

選擇 Office 2013 的數位憑證類型

數位憑證可以是自我簽署,也可由某組織的 CA 發行,例如 Windows Server 2012 或執行 Active Directory 憑證服務的 Windows Server 2008 電腦,或由公用 CA 發行,例如 VeriSign 或 Thawte。一般來說,不想為組織設定公開金鑰基礎結構 (PKI) 且不想購買商業憑證的個人與小型企業,才會使用自我簽署憑證。

只有當您與私底下認識的某人交換文件,且確信您就是文件的真正建立者時,自我簽署憑證才有用,而這也是使用自我簽署憑證的主要缺點。使用自我簽署憑證時,沒有第三方可驗證憑證的真實性。每個收到您簽署文件的人,都必須自行判斷是否信任您的憑證。

在大型組織中,取得數位憑證主要有兩種方法:使用組織或公司 PKI 所建立的憑證,以及商業憑證。只想與組織中其他員工共用簽署文件的組織,可能較偏好使用公司 PKI 來降低成本。想與組織外的人共用簽署文件的組織,可能較偏好使用商業憑證。

使用組織或公司 PKI 建立的憑證

組織可選擇建立自己的 PKI。在此案例中,公司會設定一或多個憑證授權單位 (CA),這些授權單位可以為整個公司的電腦和使用者建立數位憑證。 搭配 Active Directory 目錄服務 (AD DS) 一起使用時,公司可以建立完整的 PKI 解決方案,在組織或公司管理的所有電腦上安裝組織或公司 CA 鏈,並自動指派數位憑證給使用者和電腦來簽署和加密文件。這樣,公司內的所有員工就可自動信任同一家公司內其他員工的數位憑證 (也就是有效的數位簽章)。

如需詳細資訊,請參閱<Active Directory 憑證服務>。

商業憑證

您可以向從事數位憑證銷售業務的公司購買商業憑證。使用商業憑證的主要好處是商業憑證廠商的根 CA 憑證會自動安裝在組織的 Windows 作業系統上。如此可讓這些電腦自動信任 CA。不同於組織或公司 PKI 解決方案,商業憑證可讓您與不屬於組織的使用者共用您簽署的文件。

有三種商業憑證:

  • 類別 1   類別 1 憑證發行給具備有效電子郵件地址的人。類別 1 憑證適用於不需要身分識別證明的非商業交易中進行數位簽章、加密及電子存取控制。

  • 類別 2   類別 2 憑證發行給個人和裝置。類別 2 個別憑證適用在以驗證資料庫中的資訊作為身分識別證明即可的交易中的數位簽章、加密及電子存取控制。類別 2 裝置憑證適用於裝置驗證、訊息、軟體、內容完整性及機密加密。

  • 類別 3 類別 3 憑證發行給個人、組織、伺服器、裝置及 CA 和根授權單位 (RA) 的管理員。類別 3 個別憑證適用在必須取得身分識別證明的交易中的數位簽章、加密及存取控制。類別 3 伺服器憑證適用於伺服器驗證、訊息、軟體、內容完整性及機密加密。

如需商業憑證的詳細資訊,請參閱<數位識別碼>。

規劃 Office 2013 文件中的數位簽章層級

使用者可以使用 Excel 2013、PowerPoint 2013 及 Word 2013 以數位方式簽署文件。他們也可以使用 Excel 2013、InfoPath 2013 或 Word 2013 新增簽名欄或簽名圖章。以數位方式簽署具有數位憑證但無簽名欄或圖章的文件,就稱為建立隱形數位簽章。可見和隱形數位簽章都使用數位憑證來簽署文件。差別在於文件中使用可見數位簽名欄時的圖形表示。如需如何新增數位簽章的詳細資訊,請參閱<在 Office 檔案中新增或移除數位簽章>。

根據預設,在建立數位簽章時,如果使用自我簽署憑證或 CA 簽署的憑證,Office 2013 會建立 XAdES-EPES 數位簽章。

下表列出以 XML-DSig 數位簽章標準為基礎且在 Office 2013 中可用的 XAdES 數位簽章層級。每一個層級皆建置於前一個層級之上,且包含先前層級的所有功能。例如,除了 XAdES-X 中引進的新功能之外,XAdES-X 還包含 XAdES-EPES、XAdES-T 及 XAdES-C 的所有功能。

Office 2013 的 XAdES 數位簽章層級

簽章層級 描述

XAdES-EPES (基本)

將簽署憑證的相關資訊新增至 XML-DSig 簽章。這是 Office 2013 簽章的預設值。

XAdES-T (時間戳記)

將時間戳記新增至簽章的 XML-DSig 和 XAdES-EPES 區段,有助於防止憑證過期。

XAdES-C (完整)

新增憑證鏈結和撤銷狀態資訊的參照。

XAdES-X (延伸)

將時間戳記新增至 XML-DSig SignatureValue 元素,以及簽章的 –T 和 –C 區段。額外時間戳記可避免其他資料遭否認。

XAdES-X-L (長期延伸)

除了簽章之外,還儲存實際憑證和憑證撤銷資訊。如此,即使已無法使用憑證伺服器,仍可驗證憑證。

規劃 Office 2013 的時間戳記數位簽章

當使用者將時間戳記新增至數位簽章時,就有助於延長該數位簽章的有效期限。例如,若先前用來建立數位簽章的憑證已經撤銷,則數位簽章會包含來自受信任時間戳記伺服器的時間戳記,以及憑證撤銷之前的時間戳記,因此數位簽章仍然有效。若要在數位簽章上使用時間戳記功能,您必須完成下列工作:

  • 設定符合 RFC 3161 的時間戳記伺服器

  • 使用群組原則設定 [指定伺服器名稱],輸入時間戳記伺服器在網路上的位置。

您也可以設定下列一或多個群組原則設定,以設定其他時間戳記參數:

  • 設定時間戳記雜湊演算法

  • 設定時間戳記伺服器逾時

如果您未設定並啟用 [設定時間戳記雜湊演算法],則會使用預設值 SHA1。如果您未設定並啟用 [設定時間戳記伺服器逾時],Office 2013 會花 5 秒來等待時間戳記伺服器回應要求。

規劃 Office 2013 的簽章設定

除了用來設定時間戳記相關設定的群組原則設定,還有其他群組原則設定可設定如何在組織中設定和控制數位簽章。下表列出設定名稱及描述。這些都在 software\policies\microsoft\office\15.0\common\signatures 中。

數位簽章群組原則組態設定

群組原則設定 描述

產生簽章時需要 OCSP

此原則設定可讓您決定在產生數位簽章時,Office 2013 是否需要鏈結中所有數位憑證的 OCSP (線上憑證狀態通訊協定) 撤銷資料。

指定產生數位簽章的最低 XAdES 層級

此原則設定可讓您指定 Office 2013 應用程式必須達到的最低 XAdES 層級,才能建立 XAdES 數位簽章。如果 Office 2013 應用程式無法達到最低 XAdES 層級,則 Office 應用程式不會建立簽章。

檢查數位簽章的 XAdES 部分

此原則設定可讓您指定在驗證文件的數位簽章時,Office 2013 是否檢查數位簽章的 XAdES 部分。

驗證簽章時不允許到期的憑證

此原則設定可讓您設定在驗證數位簽章時,Office 2013 應用程式是否接受過期的數位憑證。

不要在資訊清單中包含 XAdES 參照物件

此原則設定可讓您決定是否在資訊清單顯示 XAdES 參照物件。如果您希望 2007 Office System 能夠讀取包含 XAdES 內容的 Office 2013 簽章,則必須將此設定設為 [啟用]。否則,2007 Office System 會將包含 XAdES 內容的簽章視為無效。

選取數位簽章雜湊演算法

此原則設定可讓您設定 Office 2013 應用程式用來確認數位簽章的雜湊演算法。

設定簽章驗證層級

此原則設定可讓您設定 Office 2013 應用程式驗證數位簽章時所使用的驗證層級。

產生簽章所要求的 XAdES 層級

此原則設定可讓您指定建立數位簽章時所要求的或想要的 XAdES 層級。

下列其他群組原則設定與數位簽章有關,也位於 \software\policies\microsoft\office\15.0\common\signatures! 中:

  • 設定預設圖像目錄

  • EKU 篩選

  • 舊版格式的簽章

  • 隱藏 Office 簽署提供者

  • 隱藏外部簽章服務命令

如需每一個群組原則設定的詳細資訊,請參閱 Office 2013 之系統管理範本檔案隨附的說明檔。

注意事項附註:
如需原則設定的最新資訊,請參閱 Excel 活頁簿 Office2013GroupPolicyAndOCTSettings_Reference.xls,此檔案在 Office 2013 系統管理範本檔案 (ADMX/ADML) 和 Office 自訂工具下載頁面的 [Files in this Download] 區段中。

數位簽章適用的登錄設定

下表顯示數位簽章專用的 Windows 登錄設定和用來加密的憑證。這些登錄設定位於 HKEY_CURRENT_USER\software\policies\Microsoft\Office\15.0\common\signatures。沒有對應的群組原則。

數位簽章登錄設定

登錄項目 類型 描述

FilterIssuer

WZ

空白

將可用憑證組的範圍縮小到名稱中有 FilterIssuer 值的憑證。

MinSigningDSABits

DWORD

空白

指定在 Office 中建立 DSA 數位簽章時允許的位元數下限。

InvalidDSABits

DWORD

空白

指定在 DSA 數位簽章中讀取的位元數上限。將會忽略超出 InvalidDSABits 值的任何位元。

InvalidHashAlg

WZ

空白

指定組織先前在舊版 Office (例如,Office 2007、Office 2010) 中用來建立數位簽章的雜湊演算法,而您現在想要將此演算法作廢。如果在此指定雜湊,則使用該雜湊來驗證數位簽章的任何文件或電子郵件會驗證失敗。

InvalidRSABits

DWORD

空白

指定在 RSA 數位簽章中讀取的位元數上限。將會忽略超出 InvalidRSABits 值的任何位元。

LegacyDSABits

DWORD

空白

指定在舊版 DSA 數位簽章中處理的位元數下限,舊版是指使用 Office 2007 或 Office 2010 來為文件或電子郵件建立的數位簽章,且在 LegacyHashAlg 登錄機碼設定中指定雜湊演算法。

LegacyHashAlg

WZ

MD5

指定組織在舊版 Office (例如,Office 2007、Office 2010) 中用來建立數位簽章的雜湊演算法,而您想要以此演算法來驗證以數位方式簽署的舊版文件和電子郵件。

LegacyRSABits

DWORD

空白

指定在舊版 RSA 數位簽章中處理的位元數下限。舊版是指使用 Office 2007 或 Office 2010 來為文件或電子郵件建立的數位簽章,且在 LegacyHashAlg 登錄機碼設定中指定雜湊演算法。

MinSigningRSABits

DWORD

空白

指定在 Office 2013 中用來建立數位簽章的位元數下限。

另請參閱

Office 2013 安全性的內容藍圖

XML 進階電子簽章 (XAdES)
Office 2013 系統管理範本檔案 (ADMX/ADML) 和 Office 自訂工具
Active Directory 憑證服務
數位識別碼
在 Office 檔案中新增或移除數位簽章