• 發行項

規劃 Office 2010 受信任的發行者設定

 

適用版本: Office 2010

上次修改主題的時間: 2016-11-29

如果組織使用已發佈的內容 (例如 Microsoft ActiveX 控制項、增益集及 Visual Basic for Applications (VBA) 巨集),您就可以使用 [受信任的發行者] 清單來指定您信任的內容發行者。「發行者」係指任何建立並散佈數位簽署之 ActiveX 控制項、增益集或 VBA 巨集的開發人員、軟體公司或組織。「受信任的發行者」則是任何已加入至 [受信任的發行者] 清單的發行者。開啟檔案時,若該檔案包含由受信任的發行者所建立的主動式內容,便會啟用該受信任發行者的內容,而且系統不會通知使用者檔案中可能含有任何潛在風險。

本文內容:

  • 關於規劃受信任的發行者設定

  • 從已知發行者取得憑證

  • 決定哪些憑證必須加入至受信任的發行者清單

  • 相關的受信任發行者設定

關於規劃受信任的發行者設定

若要將發行者指定為受信任的發行者,就必須將發行者的憑證加入至 [受信任的發行者] 清單。在此情況下,發行者的憑證係指,發行者以數位方式簽署其已發佈內容時所用的數位憑證 (.cer 檔案)。在大部分情況下,您可從發行者取得 .cer 檔案,或從已發佈內容相關聯的 .cab, .dll, .exe 或 .ocx 檔案匯出該檔案。如果不確定組織使用哪個已發佈內容,您可能還必須判斷其他任何已發佈內容是否要以組織的 Microsoft Office 2010 應用程式執行,然後再取得該已發佈內容的憑證。

您可以使用 Office 自訂工具 (OCT) 或群組原則這兩種方式,將發行者的憑證加入至 [受信任的發行者] 清單。OCT 並不提供管理憑證的設定,它只提供將受信任發行者的憑證加入至 [受信任的發行者] 清單的選項。如果要管理憑證信任,或要建立特定信任關係,以滿足業務案例之需,就必須使用群組原則。如需如何將受信任的發行者加入至 [受信任的發行者] 清單的詳細資訊,以及如何管理受信任的根憑證,請參閱管理受信任的根憑證 (https://go.microsoft.com/fwlink/?linkid=164939\&clcid=0x404) 和 管理受信任的發行者 (https://go.microsoft.com/fwlink/?linkid=164941\&clcid=0x404)。

從已知發行者取得憑證

在大部分情況下,您可以要求發行者將憑證寄送給您,以取得已發行內容的憑證。如果無法經由這種方式取得憑證,但您知道包含該已發行內容且經數位簽署的 .cab, .dll, .exe 或 .ocx 檔案名稱,您可以使用下列程序匯出該憑證檔案。

重要

此程序假設電腦執行的是 Windows Vista 作業系統。

從 .dll 檔案匯出憑證

  1. 以滑鼠右鍵按一下發行者所簽署的檔案,然後按一下 [內容]。

  2. 按一下 [數位簽章] 索引標籤。

  3. 在 [簽章清單] 中,按一下憑證,然後按一下 [詳細資料]。

  4. 按一下 [數位簽章詳細資料] 對話方塊中的 [檢視憑證]。

  5. 按一下 [詳細資料] 索引標籤,然後按一下 [複製到檔案]。

  6. 在 [憑證探索精靈] 歡迎頁面中,按 [下一步]。

  7. 在 [匯出檔案格式] 頁面中,按一下 [DER 編碼二位元 X.509 (.CER)],然後按 [下一步]。

  8. 在 [要匯出的檔案] 頁面中,輸入 .cer 檔案的路徑與名稱,按 [下一步],然後按一下 [完成]。

務必確認所有 .cer 檔案是儲存在可讓用戶端電腦在安裝期間存取的網路共用上。

決定哪些憑證必須加入至受信任的發行者清單

在某些情況下,您可能不知道組織是否使用已發行內容,或是您可能不知道要將哪個已發行內容加入至 [受信任的發行者] 清單。通常,除非您的環境有嚴格限制,而您要求所有已發行內容必須加上簽章,才會關係到上述事項。您可以使用下列程序測試 Office 2010 應用程式,找出以數位方式簽署的內容。

重要

下列程序假設 Word 2010 處於執行中狀態,不過您也可以在其他 Office 2010 應用程式上執行相同程序。

識別已發行內容,並將該內容發行者加入至受信任的發行者清單

  1. 在執行組織標準設定 (包括使用者需要的任何增益集) 的測試電腦或用戶端電腦上,在 [信任中心] 執行下列動作,以啟用 [要求應用程式增益集由受信任的發行者簽署] 設定:

    • 依序按一下 [檔案]、[選項]、[信任中心]、[信任中心設定]、[增益集]、[要求應用程式增益集由受信任的發行者簽署] 及 [確定]。

  2. 結束並重新啟動 Word。如果已安裝增益集,則訊息列會顯示下列訊息:[安全性警告 部分主動式內容已經停用。請按一下以取得詳細資訊。]。

  3. 在訊息列上按一下 [部分主動式內容已經停用。請按一下以取得詳細資訊。]。

  4. 按一下 [檔案] 索引標籤,再按一下 [Backspace 檢視] 中的 [啟用內容],然後按一下 [進階選項]。

  5. 在 [安全性警訊 - 多重議題] 對話方塊中,針對每個顯示有效數位簽章的增益集執行下列步驟,以將每個憑證安裝至 [受信任的發行者] 清單:

    1. 按一下 [顯示簽章詳細資料]。

    2. 按一下 [數位簽章詳細資料] 視窗中的 [檢視憑證]。

    3. 按一下 [憑證] 視窗中的 [安裝憑證]。

    4. 在 [憑證匯入精靈] 中,依序按 [下一步]、[將所有憑證放入以下的存放區]、[瀏覽]、[受信任的發行者]、[確定]、[下一步] 及 [完成]。

  6. 準備要散佈的憑證檔案:

    1. 依序按一下 [檔案] 索引標籤、[選項]、[信任中心]、[信任中心設定] 及 [受信任的發行者]。

    2. 針對每個憑證,選取憑證,按一下 [檢視],然後遵循下列步驟:

      1. 在 [憑證] 視窗的 [詳細資料] 索引標籤中,按一下 [複製到檔案]。

      2. 在 [憑證匯出精靈] 中,按 [下一步],然後再按一次 [下一步],以接受預設的檔案格式,輸入檔案名稱,選取儲存檔案的位置,然後按一下 [完成]。

相關的受信任發行者設定

下列設定通常會與 [受信任的發行者] 設定一起使用:


  • 應用程式增益集必須經過受信任的發行者簽署

    此設定會限制增益集只能是由受信任發行者簽署的增益集。


  • 停用未簽署應用程式增益集的信任列通知

    此設定將不會讓使用者看到關於增益集未經受信任發行者簽署的訊息列警告。


  • VBA 巨集警告設定

    此設定會限制 VBA 巨集只能是由受信任發行者簽署的 VBA 巨集。


  • 停用所有 ActiveX

    此設定會限制 ActiveX 控制項只能是由受信任發行者簽署的 ActiveX 控制項。

注意

如需原則設定的最新資訊,請參閱 Microsoft Excel 2010 活頁簿 Office2010GroupPolicyAndOCTSettings_Reference.xls (位於 Office 2010 系統管理範本檔案 (ADM、ADMX、ADML) 及 Office 自訂工具(可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=189316&clcid=0x404)(可能為英文網頁) 下載頁面的<此下載中的檔案>區段中)。