В Microsoft Word можно добавить строку подписи в документ. Это элемент внутри документа, который изначально выглядит так:
После того, как вы добавили эту строку подписи в документ, вы можете дважды щелкнуть по ней и выбрать сертификат для подписи документа. Если вы еще не создали цифровой идентификатор, Word попросит вас создать его при двойном щелчке:
Извините, что не на английском. По сути, вас спрашивают, хотите ли вы использовать цифровой идентификатор от партнера Microsoft или создать его самостоятельно. Я выбрал создание самостоятельно.Этот цифровой идентификатор затем будет виден в certmgr.msc/Personal/Certificates.. Кроме того, теперь, всякий раз, когда я добавляю строку подписи в документ Word, я могу дважды щелкнуть по ней и выбрать созданный сертификат для его подписания.
А теперь я перехожу к проблеме: подcertmgr.msc/Персональные/СертификатыУ меня есть несколько других сертификатов. Моя организация, должно быть, поместила их туда. Почему я не могу выбрать эти сертификаты для подписи строки подписи внутри Word? Внутри Word я могу выбрать только сертификат, который я создал сам, это единственный вариант выбора. А как насчет других сертификатов, которые находятся в том же месте, т. е.certmgr.msc/Персональные/Сертификаты?
решение1
Сертификаты X.509 включают в себя различные метаданные, которые подписывает выдающий CA, а также сам открытый ключ. (Например, они выдаются для определенного имени: сертификат TLS, используемый superuser.com, выдается специально для «superuser.com».)
Одним из таких полей метаданных является X.509v3.Расширенное использование ключакоторый указывает на конкретное назначение сертификата (например, подпись электронной почты, сервер TLS, восстановление EFS и т. д.). Это предотвращает, например, использование украденного сертификата электронной почты для подписи приложений или использование сертификата EFS в качестве поддельного сервера HTTPS.
Я не могу найти официальную документацию, в которой говорится, какие EKU должны присутствовать в сертификате, чтобы их можно было выбрать в Word, однако, скорее всего, они должны быть выданы либо для "Подписание документов", и/или "Подписание кода", и/илиможет быть?«Защита электронной почты».
Сертификаты "Email", продаваемые многими коммерческими CA, также включают EKU подписи документов, поэтому они должны быть пригодны для использования в Word. В среде служб сертификации Microsoft несколько базовых шаблонов, таких как "Пользователь" или "Подпись кода"мощьработать для этой цели, или системному администратору может потребоваться создать собственный шаблон.