No Microsoft Word você pode adicionar uma linha de assinatura a um documento. É um item dentro do documento que inicialmente se parece com isto:
Depois de adicionar a linha de assinatura ao documento, você pode clicar duas vezes nela e escolher um certificado para assinar o documento. Caso você ainda não tenha criado um ID digital, o Word solicita que você crie um com um clique duplo:
Desculpe por não estar em inglês. Basicamente, ele pergunta se você deseja usar uma ID digital de um parceiro da Microsoft ou criar uma você mesmo. Eu escolho criar um sozinho.Esse ID digital ficará visível em certmgr.msc/Personal/Certificates. Também a partir de agora, sempre que adicionar uma linha de assinatura a um documento Word, posso clicar duas vezes nele e escolher o certificado criado para assiná-lo.
E agora chego ao problema: sobcertmgr.msc/Pessoal/CertificadosTenho vários outros certificados. Minha organização deve tê-los colocado lá. Por que não consigo escolher esses certificados para assinar uma linha de assinatura dentro do Word? Dentro do Word só posso escolher o certificado que eu mesmo criei, é a única opção de seleção. E quanto aos outros certificados que residem no mesmo local, ou seja,certmgr.msc/Pessoal/Certificados?
Responder1
Os certificados X.509 incluem vários metadados que a CA emissora assina, juntamente com a própria chave pública. (Por exemplo, eles são emitidos para um nome específico: o certificado TLS usado por superuser.com é emitido especificamente para “superuser.com”.)
Um desses campos de metadados é X.509v3Uso estendido de chaveque indica a finalidade específica do certificado (por exemplo, assinatura de e-mail, servidor TLS, recuperação EFS e assim por diante). Isso evita, por exemplo, que um certificado de e-mail roubado seja usado para assinar aplicativos ou que um certificado EFS atue como um servidor HTTPS falso.
Não consigo encontrar documentação oficial informando quais EKUs devem estar presentes em um certificado para serem selecionáveis no Word, no entanto, é provável que devam ser emitidas para "Assinatura de documentos" e/ou "Assinatura de código" e/outalvez?"Proteção de e-mail".
Os certificados de "e-mail" vendidos por muitas CAs comerciais também incluem o EKU de assinatura de documento, portanto, devem ser utilizáveis pelo Word. Em um ambiente de Serviços de Certificados Microsoft, vários modelos básicos, como "Usuário" ou "Assinatura de Código"poderfuncione para essa finalidade, ou o administrador do sistema pode precisar criar um modelo personalizado.