規劃 Office 2010 的數位簽章設定

數位簽章的完成作業

數位簽章可協助建立下列驗證方法：

• 驗證性   數位簽章及其基礎數位憑證可協助確保簽章者為其所宣稱的身分。此有助於防止其他人假冒為特定文件的建立者 (等同於書面文件的偽造)。

• 完整性   數位簽章可協助確保自數位簽署之後未變更或篡改內容。這有助於防止文件在未辨識文件建立者的情況下遭到攔截及變更。

• 不可否認性   數位簽章有助於證實所有團體就是簽署內容的源頭。「否認性」指的是簽章者拒絕與所簽署內容有任何關聯的行為。這有助於證實文件建立者是真正建立者，而不是其他人，且不論簽章者的宣稱為何。簽章者若未否認其數位金鑰，就無法否認該文件上的簽章，因此，也無法否認其他使用該金鑰簽署的文件。

數位簽章需求

若要建立這些條件，則內容建立者必須建立滿足下列準則的簽章，以數位簽署內容：

• 數位簽章有效。作業系統信任的 CA 必須簽署作為數位簽章基礎的數位憑證。

• 與數位簽章相關聯的憑證未到期，或是包含的時間戳記指出憑證在簽署時有效。

• 未撤銷與數位簽章相關聯的憑證。

• 收件者信任簽署人員或組織 (稱為發行者)。

Word 2010、Excel 2010 及 PowerPoint 2010 偵測到這些準則，並警告您，數位簽章似乎有問題。在 Office 2010 應用程式中出現的憑證工作窗格中，可以輕鬆地檢視問題憑證的資訊。Office 2010 應用程式可讓您在同一份文件中新增多個數位簽章。

商業環境中的數位簽章

下列狀況顯示在商業環境中如何數位簽署文件：

1. 員工使用 Excel 2010 建立費用報表。接著，員工建立三個簽章行：其中一個是她自己的簽章行、另一個是她經理的簽章行，最後一個則是會計部門的簽章行。這些簽章行是用來識別員工是文件的建立者、移至經理及會計部門時未變更文件，並且證明經理及會計部門都已收到並檢閱過文件。

2. 經理已收到文件，並在文件中加入她的數位簽章，以確認她已檢閱並核准文件。她接著將文件轉交給會計部門以進行付款。

3. 會計部門中的代表人員收到文件並在其上簽名，確認已收到文件。

此範例示範可以在單一 Office 2010 文件中加入多個簽章。除了數位簽章之外，文件的簽章者還可以加入她實際簽章的圖形，或使用 Tablet PC 在文件的簽章行實際寫入簽章。此外尚有部門可使用的「橡皮圖章」功能，用以表示特定部門的成員已收到該文件。

相容性問題

如同 2007 Office System，Office 2010 也使用 XML-DSig 格式的數位簽章。此外，Office 2010 也新增 XAdES (XML 進階電子簽章) 支援。XAdES 是一組 XML-DSig 的多層延伸模組，各層級是依據前項所建置，提供更可靠的數位簽章。如需 Office 2010 中所支援 XAdES 層級的詳細資訊，請參閱本文稍後的＜使用數位簽章＞。如需 XAdES 詳細資料的詳細資訊，請參閱 XML 進階電子簽章 (XAdES)(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=186631\&clcid=0x404)(可能為英文網頁) 的規格。

請記住，Office 2010 中所建立的數位簽章與早於 2007 Office System 的 Microsoft Office 版本不相容。例如，如果文件是使用 Office 2010 或 2007 Office System 中的應用程式進行簽署，並使用已安裝 Office 相容性套件的 Microsoft Office 2003 中的應用程式予以開啟，則系統會通知使用者：文件是由新版的 Microsoft Office 所簽署，因此將會遺失數位簽章。

下圖顯示的警告，指出在 Office 的較早版本中開啟文件時會移除數位簽章。

而且，如果在 Office 2010 中針對數位簽章使用 XAdES，則除非設定「群組原則」設定 ([不要在資訊清單中包含 XAdES 參照物件]) 並將它設為 [停用]，否則數位簽章會與 2007 Office System 不相容。如需數位簽章「群組原則」設定的詳細資訊，請參閱本文稍後的＜設定數位簽章＞。

如果您需要在 Office 2010 中建立的數位簽章與 Office 2003 及較早版本相容，則可以設定「群組原則」設定 ([舊版格式的簽章]) 並將它設為 [啟用]。此「群組原則」設定位於 [使用者設定\系統管理範本\(ADM\ADMX)\Microsoft Office 2010\簽署] 下。將此設定設為 [啟用] 之後，Office 2010 應用程式會使用 Office 2003 二進位格式，將數位簽章套用至在 Office 2010 中建立的 Office 97-2003 二進位文件。

使用公司 PKI 所建立的憑證

組織可以選擇建立專屬的 PKI。在此狀況下，公司會設定一或多個憑證授權單位 (CA)，以建立公司內電腦及使用者的數位憑證。如果與 Active Directory 目錄服務合併使用，則公司可以建立完整的 PKI 解決方案，這樣一來，所有公司管理的電腦都已安裝公司 CA 鏈結，而且會將數位憑證自動指定給使用者及電腦，以進行文件簽署及加密。這樣可讓公司中的所有員工自動信任來自相同公司之其他員工的數位憑證 (因此為有效數位簽章)。

如需詳細資訊，請參閱 Active Directory 憑證服務 (https://go.microsoft.com/fwlink/?linkid=119113\&clcid=0x404)。

商業憑證

商業憑證是購買自其企業營運是銷售數位憑證的公司。使用商業憑證的主要優點是商業憑證廠商的根 CA 憑證會自動安裝至 Windows 作業系統，讓這些電腦自動信任這些 CA。而與公司 PKI 解決方案不同，商業憑證可讓您與不屬於您組織的使用者共用簽署文件。

商業憑證有三種：

• 類別 1   類別 1 憑證是發給具有有效電子郵件地址的人員。類別 1 憑證適用於進行數位簽章、加密以及不需要身分證明之非商業交易的電子存取控制。

• 類別 2   類別 2 憑證是發給人員及裝置。類別 2 個人憑證適用於進行數位簽章、加密以及交易中的電子存取控制，而交易是根據驗證資料庫中之資訊的身分證明就已足夠。類別 2 裝置憑證適用於進行裝置驗證；郵件、軟體及內容完整性，以及機密性加密。

• 類別 3   類別 3 憑證是發給人員、組織、伺服器、裝置及 CA 及根授權單位 (RA) 的管理員。類別 3 個人憑證適用於進行數位簽章、加密以及必須確保身分證明之交易中的存取控制。類別 3 伺服器憑證適用於進行伺服器驗證；郵件、軟體及內容完整性，以及機密性加密。

如需商業憑證的詳細資訊，請參閱數位 ID - Office 服務商場 (https://go.microsoft.com/fwlink/?linkid=119114\&clcid=0x404)。

時間戳記數位簽章

Office 2010 具有將時間戳記新增至數位簽章的功能，以協助延伸數位簽章的週期。例如，如果撤銷的憑證先前是用於建立數位簽章 (含有來自信任之時間戳記伺服器的時間戳記)，則時間戳記是發生在撤銷憑證之前時，還是會將數位簽章視為有效。若要搭配使用時間戳記功能與數位簽章，則必須完成下列作業：

• 設定符合 RFC 3161 標準的時間戳記伺服器

• 使用「群組原則」設定 ([指定伺服器名稱]) 輸入時間戳記伺服器在網路上的位置。

您也可以設定下列一或多個「群組原則」設定，以設定其他時間戳記參數：

• 設定時間戳記雜湊演算法

• 設定時間戳記伺服器逾時

如果您未設定及啟用 [設定時間戳記雜湊演算法]，則會使用預設值 SHA1。如果您未設定及啟用 [設定時間戳記伺服器逾時]，則 Office 2010 等待時間戳記伺服器回應要求的預設時間為 5 秒。

設定數位簽章

除了用於設定時間戳記相關設定的「群組原則」設定之外，還是有其他「群組原則」設定可以設定組織中之數位簽章的設定及控制方式。下表列出設定名稱及描述。

其他數位簽章相關「群組原則」設定如下：

• 金鑰使用方式篩選

• 設定預設圖像目錄

• EKU 篩選

• 舊版格式的簽章

• 隱藏 Office 簽署提供者

• 隱藏外部簽章服務功能表項目

如需每個「群組原則」設定的詳細資訊，請參閱 Office 2010 之系統管理範本檔案所含的說明檔。如需系統管理範本檔案的詳細資訊，請參閱＜Office 2010 的群組原則概觀＞。