En Microsoft Word puedes agregar una línea de firma a un documento. Es un elemento dentro del documento que inicialmente se ve así:
Una vez que haya agregado esa línea de firma al documento, puede hacer doble clic en ella y elegir un certificado para firmar el documento. En caso de que aún no haya creado una identificación digital, Word le pedirá que cree una con ese doble clic:
Perdón que no esté en inglés. Básicamente le pregunta si desea utilizar una identificación digital de un socio de Microsoft o crear una usted mismo. Elijo crear uno yo mismo.Esa identificación digital será visible en certmgr.msc/Personal/Certificates. Además, a partir de ahora, cada vez que agregue una línea de firma a un documento de Word, puedo hacer doble clic en él y elegir ese certificado creado para firmarlo.
Y ahora llego al problema: bajocertmgr.msc/Personal/CertificadosTengo varios otros certificados. Mi organización debe haberlos puesto allí. ¿Cómo es que no puedo elegir esos certificados para firmar una línea de firma dentro de Word? Dentro de Word solo puedo elegir el certificado que yo mismo he creado, es la única opción de selección. ¿Qué pasa con los otros certificados que residen en la misma ubicación, es decircertmgr.msc/Personal/Certificados?
Respuesta1
Los certificados X.509 incluyen varios metadatos que firma la CA emisora, junto con la propia clave pública. (Por ejemplo, se emiten para un nombre específico: el certificado TLS utilizado por superuser.com se emite específicamente para "superuser.com".)
Uno de estos campos de metadatos es X.509v3.Uso extendido de clavesque indica el propósito específico del certificado (por ejemplo, firma de correo electrónico, servidor TLS, recuperación de EFS, etc.). Esto evita, por ejemplo, que se utilice un certificado de correo electrónico robado para firmar aplicaciones o que un certificado EFS actúe como un servidor HTTPS falso.
No puedo encontrar documentación oficial que indique qué EKU deben estar presentes en un certificado para poder seleccionarse en Word; sin embargo, es probable que deban emitirse para "Firma de documentos", y/o "Firma de código", y/o¿tal vez?"Protección del correo electrónico".
Los certificados de "correo electrónico" vendidos por muchas CA comerciales también incluyen el documento de firma EKU, por lo que deberían poder utilizarse en Word. En un entorno de Servicios de Certificate Server de Microsoft, varias plantillas básicas como "Usuario" o "Firma de código"podríafuncionar para este propósito, o el administrador del sistema podría necesitar crear una plantilla personalizada.