使用 Office 2016 的數位簽章
總結:說明如何在 Excel、PowerPoint 和 Word 檔中支援 XML 進階電子簽名 (XAdES) 。 此外,請決定如何為您的部署選取適當的憑證。
使用者以數位方式簽署 Excel、PowerPoint 或 Word 檔,原因有很多,因為他們可能會在紙張檔上放置手寫簽章。 數位簽名可協助驗證建立者的身分識別。 它會驗證數位資訊的作者,包括文件、電子郵件訊息和宏。 此程式會使用密碼編譯演算法。
證書頒發機構單位 (CA) 發行數位證書,作為身分識別的驗證者。 這些憑證構成數位簽名的基礎。 其運作方式類似於使用列印的身分識別檔。 例如,政府實體或僱主會發出身分識別檔,例如驅動程式授權、護照和員工標識符卡。 其他人則依賴這些文件來確認某人是其所宣告的身分。
本文包含 Office 2016 的新數位簽名登錄機碼。
提示
您是否要在桌面電腦上尋找 Office 2016 中數位簽名設定的說明? 您可能正在尋找下列其中一篇文章,這可協助您保護桌面上的 Office 2016: 數位簽名和憑證、 新增或移除 Office 檔案中的數位簽名,以及 取得數位標識符。
數位簽名簡介及其在 Office 中的使用方式
數位簽章可協助建立下列驗證量值:
真實性 數字簽名及其基礎數位證書可協助確保簽署者是其所宣告的人員。 這有助於防止其他人偽裝成特定檔的來源,這相當於列印檔上的偽造。
誠信 數位簽名可確保內容在數字簽署後不會變更或遭到竄改。 此數位簽名可防止在檔案產生者不知情的情況下攔截和更改檔。
不可否認性 數位簽名有助於向所有合作對象證明已簽署內容的來源。 「否認性」是指簽署者拒絕任何與已簽署內容的關聯。 數位簽名可協助證明無論簽署者的宣告為何,文件的產生者都是真正的寄件者,而不是其他人。 簽署者無法在不否認其數位密鑰的情況下,於該檔上否認其簽章,這會影響使用該金鑰簽署的其他檔。
Office 2016 中的數位簽名需求
若要建立這些條件,內容建立者必須建立符合下列準則的簽章,以數位方式簽署內容:
數位簽章有效。 操作系統必須信任證書頒發機構單位 (CA) 簽署數位證書來支援數位簽名。
與數位簽名相關聯的憑證未過期,或包含指出憑證在簽署時有效的時間戳。
與數位簽名相關聯的憑證不會撤銷。
收件者信任名為發行者) 的簽署者或組織 (。
Word 2016、Excel 2016 和 PowerPoint 2016 偵測這些準則,並在數位簽名有問題時警告使用者。 在 Office 2016 應用程式中出現的憑證工作窗格中,可以輕鬆檢視有問題憑證的相關信息。 Office 2016 應用程式可讓您將多個數位簽名新增至相同的檔。
Office 2016 商務環境中的數字簽名
下列案例示範如何在商務環境中的檔上使用數字簽名:
員工使用 Excel 2016 來建立費用報告。 員工接著會建立三個簽章行:一個用於自己、一個用於其經理,另一個用於會計部門。 簽章適用於:
識別員工是文件的產生者
指出當檔移至經理和會計部門時,文件中沒有任何變更
證明管理員和會計部門已收到並檢閱檔
管理員會收到檔,並將其數位簽名新增至檔,確認他們已檢閱並核准檔。 然後轉寄給會計部門進行付款。
會計部門的一位代表會收到檔並加以簽署,以確認檔的收據。
此範例示範如何將多個簽章新增至單一 Office 2016 檔。 除了數字簽名之外,文件的簽署者可以新增其實際簽章的圖形,或使用Tablet計算機將簽章實際寫入檔中的簽章行。
Office 2016 之前的 Office 文件兼容性問題
Office 2016 就像 Office 2013、Office 2010 和 Office 2007 一樣,使用數位簽名的 XML-DSig 格式。 此外,Office 2016 也支援 XAdES (XML 進階電子簽名) 。 XAdES 是一組 XML-DSig 的分層延伸模組,其層級會根據先前的層級來提供更可靠的數字簽名。 如需 Office 2016 所支援 XAdES 層級的詳細資訊,請參閱本文稍後 的規劃 Office 2016 中的數位簽名層級檔 。 如需 XAdES 詳細資料的詳細資訊,請參閱 XAdES (XAdES) 的 XML 進階電子簽名 規格。
在 Office 2016 中建立的數位簽名與 2007 Office 系統之前的 Office 版本不相容。 例如,請考慮使用 Office 2016、Office 2013、Office 2010 或 Office 2007 中的應用程式簽署的檔。 當使用者使用 Office 相容性套件在 Office 2003 中開啟這份檔時,系統會通知他們。 它會通知檔已登入較新版本的 Office。 因此,數位簽名會遺失。
下圖顯示使用者在 Office 2007 之前的 Office 版本中開啟文件之後看到的警告。
原先在 Office 2003 或更早版本中簽署的文件數位簽名警告。
如果您在 Office 2016 中針對數位簽名使用 XAdES,數位簽名與 Office 2010 或 2007 Office 系統不相容,除非您設定 群組原則 設定[不要在指令清單中包含 XAdES 參考物件],並將它設定為 [已啟用]。 如需數位簽名 群組原則 設定的詳細資訊,請參閱本文稍後的規劃 Office 2016 的簽章設定。
如果您想要讓在 Office 2016 中建立的數位簽名與 Office 2003 和舊版相容,您可以設定 群組原則 設定、舊版格式簽章,並將其設定為 [已啟用]。 此 群組原則 設定位於 [使用者設定\原則\系統管理範本\Microsoft Office 2016\Signing] 底下。 將此設定變更為 [已啟用] 之後,Office 2016 應用程式會使用 Office 2003 二進位格式,將數位簽名套用至您在 Office 2016 中建立的 Office 97-2003 二進位檔。
選擇 Office 2016 的數位證書類型
證書頒發機構單位 (CA) 可以發行數字證書,也可以自我簽署。 在組織內,此程式可能涉及執行 Active Directory 憑證服務的 Windows Server 2012 計算機。 或者,VeriSign 或 Thawte 等公用 CA 可以發出它們。 個人和小型企業通常會使用自我簽署憑證。 當他們不想為其組織建立公鑰基礎結構 (PKI) 或購買商業憑證時,他們會選擇此選項。
自我簽署憑證的主要缺點在於其有限公用程式。 它們只有在與個人認識您的人員交換檔時才有效。 個人也必須確信您是文件的實際建立者。 當您使用自我簽署憑證時,憑證沒有外部驗證真確性。 每個收到您已簽署檔的人都必須手動決定是否信任您的憑證。
對於較大的組織,有兩種取得數字證書的主要方法:使用組織或公司 PKI 建立的憑證和商業憑證。 只想要在組織中其他員工之間共用已簽署文件的組織,可能會偏好使用公司 PKI 來降低成本。 想要與組織外部人員共用已簽署文件的組織可能會偏好使用商業憑證。
使用組織或公司 PKI 建立的憑證
組織可以建立自己的 PKI。 在此案例中,公司會設定一或多個證書頒發機構單位 (CA) ,以便為整個公司的計算機和使用者建立數字證書。 當公司將 Active Directory Directory Services (AD DS) 與其系統結合時,他們可以建立完整的 PKI 解決方案。 這項整合可確保所有組織或公司管理的計算機都已安裝必要的 CA 鏈結。 此外,系統可將數位證書自動指派給用戶和計算機。 這些憑證對於文件簽署和加密而言非常重要。 此程式可讓公司中的所有員工自動信任數位證書 (,因而從同一家公司的其他員工) 有效的數字簽名。
商業憑證
您可以向企業營運要銷售數位證書的公司購買商業憑證。 使用商業憑證的主要優點是商業憑證廠商的根 CA 憑證會自動安裝在組織的 Windows 操作系統上。 這可讓這些電腦自動信任 CA。 不同於組織或公司 PKI 解決方案,商業憑證可讓您與不屬於貴組織的使用者共用已簽署的檔。
商業憑證有三種:
類別1 類別 1 憑證會簽發給具有有效電子郵件地址的人員。 類別 1 憑證適用於不需要身分識別證明的非商業交易的數位簽名、加密和電子存取控制。
類別2 類別 2 憑證會簽發給人員和裝置。 類別二個別憑證適用於驗證資料庫中資訊為基礎的身分識別證明已足夠之交易中的數位簽名、加密和電子訪問控制。 類別 2 裝置憑證適用於裝置驗證;訊息、軟體和內容完整性;和機密性加密。
類別3 類別 3 憑證會發行給 CA 的人員、組織、伺服器、裝置和系統管理員,以及根授權 (CA) 。 類別三個別憑證適用於必須確保身分識別證明之交易中的數位簽名、加密和訪問控制。 類別 3 伺服器憑證適用於伺服器驗證;訊息、軟體和內容完整性;和機密性加密。
如需商業憑證的詳細資訊,請 參閱尋找數位標識碼或數位簽名服務。
規劃 Office 2016 檔中的數位簽名層級
使用者可以使用 Excel 2016、PowerPoint 2016 和 Word 2016 來數位簽署檔。 他們也可以使用 Excel 2016、InfoPath 2016 或 Word 2016 來新增簽名欄或簽章戳記。 以數位方式簽署具有數位證書但沒有簽名欄或戳記的檔,稱為建立不可見的數字簽名。 可見和不可見的數位簽名都會使用數位證書來簽署檔。 差異在於使用可見的數位簽名欄時,檔中的圖形表示法。 如需如何新增數位簽名的詳細資訊,請參閱 在 Office 檔案中新增或移除數字簽名。
根據預設,Office 2016 會在數位簽名建立期間使用自我簽署憑證或由 CA 簽署的憑證時,建立 XAdES-EPES 數字簽名。
下表列出 XAdES 數位簽名層級,其以 XML-DSig 數位簽名標準為基礎,可在 Office 2016 中使用。 每個層級都是以上一個層級為基礎,並包含先前層級的所有功能。 例如,除了 XAdES-X 中引進的新功能之外,XAdES-X 也包含 XAdES-EPES、XAdES-T 和 XAdES-C 的所有功能。
Office 2016 中的 XAdES 數位簽名層級
| 簽章層級 | 描述 |
|---|---|
| XAdES-EPES (基底) |
將簽署憑證的相關信息新增至 XML-DSig 簽章。 此設定是 Office 2016 簽章的預設值。 |
| XAdES-T (時間戳) |
將時間戳新增至簽章的 XML-DSig 和 XAdES-EPES 區段,這有助於防止憑證到期。 |
| XAdES-C (完成) |
新增認證鏈結和撤銷狀態信息的參考。 |
| XAdES-X (擴充) |
將時間戳新增至 XML-DSig SignatureValue 元素,以及簽章的 -T 和 -C 區段。 額外的時間戳可防止數據受到否認。 |
| XAdES-X-L (長期) |
除了簽章之外,還會儲存實際的憑證和證書吊銷資訊。 這種方法允許憑證驗證,即使證書伺服器已無法使用也一致。 |
規劃 Office 2016 中的時間戳數字簽名
當使用者將時間戳新增至數位簽名時,可協助延長該數位簽名的存續期。 例如,假設有一個案例,其中包含用來建立數字簽名的已撤銷憑證。 在這種情況下,從受信任的時間戳伺服器包含時間戳會變得非常重要。 關鍵因素是時間戳的時間:如果在撤銷憑證之前套用,數字簽名仍可視為有效。 若要搭配數位簽名使用時間戳功能,您必須完成下列工作:
設定符合 RFC 3161 的時間戳伺服器。
使用 [群組原則] 設定 [指定伺服器名稱],即可輸入網络上的時間戳伺服器位置。
您也可以設定下列一或多個 群組原則 設定來設定其他時間戳參數:
設定時間戳哈希演算法
設定時間戳伺服器逾時
如果您未設定並啟用設定 時間戳哈希演算法,則會使用SHA1的預設值。 如果您未設定並啟用 設定時間戳伺服器逾時,Office 2016 會等候 5 秒的時間戳伺服器回應要求。
規劃 Office 2016 的簽章設定
群組原則 提供設定時間戳相關設定的設定。 此外,它提供在組織內管理和控制數位簽名的設定。 下表列出設定名稱和描述。
數位簽名 群組原則 組態設定
| 群組原則 設定 | 描述 |
|---|---|
| 簽章產生時需要 OCSP |
您可以在 Office 2016 中設定原則,以確保其會檢查 OCSP (在線憑證狀態通訊協定) 撤銷數據。 產生數位簽名時,鏈結中的所有數字證書都需要進行這項檢查。 |
| 指定數位簽名產生的最低 XAdES 層級 |
此原則設定可讓您指定 Office 2016 應用程式必須達到的最小 XAdES 層級,才能建立 XAdES 數字簽名。 如果 Office 2016 應用程式無法達到最小 XAdES 層級,Office 應用程式就不會建立簽章。 |
| 檢查數位簽名的 XAdES 部分 |
此原則設定可讓您指定 Office 2016 是否在驗證檔的數位簽名時檢查數位簽名的 XAdES 部分。 |
| 驗證簽章時不允許過期的憑證 |
此原則設定可讓您設定 Office 2016 應用程式在驗證數位簽名時是否接受過期的數字證書。 |
| 請勿在指令清單中包含 XAdES 參考物件 |
此原則設定可讓您判斷 XAdES 參考物件是否出現在指令清單中。 如果您希望 2007 Office 系統能夠讀取包含 XAdES 內容的 Office 2016 簽章,您必須將此設定設定為 [已 啟用 ]。 否則,2007 Office 系統會將包含 XAdES 內容的簽章視為無效。 |
| 選取數字簽名哈希演算法 |
此原則設定可讓您設定 Office 2016 應用程式用來確認數位簽名的哈希演算法。 |
| 設定簽章驗證層級 |
此原則設定可讓您設定驗證數字簽名時 Office 2016 應用程式所使用的驗證層級。 |
| 要求的 XAdES 層級以產生簽章 |
此原則設定可讓您在建立數位簽名時指定要求或所需的 XAdES 層級。 |
下列 群組原則 設定與數位簽名相關:
設定預設映像目錄
EKU 篩選
舊版格式簽章
隱藏 Office 簽署提供者
隱藏外部簽章服務命令
套用至數位簽名的登錄設定
下表顯示數位簽名專用的 Windows 登錄設定,以及用來加密它們的憑證。 這些登錄設定位於 HKEY_CURRENT_USER\software\policies\Microsoft\Office\16.0\common\signatures。 沒有對應的 群組原則。
數位簽名登錄設定
| 登錄專案 | 類型 | 值 | 描述 |
|---|---|---|---|
| FilterIssuer |
Wz |
Empty |
將可用的憑證集合縮減為名稱中具有 FilterIssuer 值的憑證。 |
| MinSigningDSABits |
DWORD |
Empty |
指定允許在 Office 中建立 DSA 數字簽名的最小位數。 |
| InvalidDSABits |
DWORD |
Empty |
指定 DSA 數位簽名中讀取的位數上限。 會忽略 InvalidDSABits 值以外的任何位。 |
| InvalidHashAlg |
Wz |
Empty |
指定組織先前用來在舊版 Office (Office 2007、Office 2010 中建立數位簽名的哈希演算法,例如您想要立即設為無效的) 。 如果此處指定了哈希,則使用該哈希來驗證數字簽名的任何檔或電子郵件驗證都會失敗。 |
| InvalidRSABits |
DWORD |
Empty |
指定 RSA 數位簽名中讀取的位數上限。 會忽略 InvalidRSABits 值以外的任何位。 |
| LegacyDSABits |
DWORD |
Empty |
指定舊版 DSA 數位簽名中處理的位數下限,其中舊版指的是使用 Office 2007 或 Office 2010 為文件或電子郵件建立的數位簽名,以及在 LegacyHashAlg 登錄機碼設定中指定哈希演算法的位置。 |
| LegacyHashAlg |
Wz |
MD5 |
定義組織用來在舊版 Office 中建立數位簽名的哈希演算法,例如 Office 2007 和 Office 2010。 此步驟可確保驗證已數位簽署的舊版檔和電子郵件。 |
| LegacyRSABits |
DWORD |
Empty |
指定在舊版 RSA 數位簽名中處理的位數下限。 使用 Office 2007 或 Office 2010 為文件或電子郵件建立的數位簽名稱為「舊版」。 在此內容中,哈希演算法是透過 LegacyHashAlg 登錄機碼設定來指定。 |
| MinSigningRSABits |
DWORD |
Empty |
指定用來在 Office 2016 中建立數位簽名的最小位數。 |
相關文章
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應