Signing your own macros with SelfCert.exe - HowTo-Outlook

Содержание

Export the certificate to a file
Locating selfcert.exe
Running your signed macro for the first time
Signing your code
Verify your macro security level
Добавление цифровой подписи к файлу или проекту макроса
О цифровых подписях
Просмотр цифровых сертификатов для файла или проекта макроса
Системные программы для работы с сертификатами, страница 5
Создание собственного цифрового сертификата
Удаление цифровой подписи

Export the certificate to a file

Right click the certificate and select All Tasks > Export:

Click ‘Next’

Only one pre-selected option will be available, so click
‘Next’ again:

The top item will already be pre-selected. Click Next again
and choose a name and location to save the exported certificate.

Click ‘Next’ again to save the certificate

Locating selfcert.exe

You can open the application by double clicking SelfCert.exe in the following location;

Windows 32-bit
C:Program FilesMicrosoft OfficeOffice <version number>
Windows 64-bit with Office 32-bit
C:Program Files (x86)Microsoft OfficeOffice <version number>
Windows 64-bit with Office 64-bit
C:Program FilesMicrosoft OfficeOffice <version number>
Office 365 32-bit (Subscription based or Click-to-Run version of Office 2021 / 2021)
C:Program Files (x86)Microsoft OfficerootOffice16
Office 365 64-bit (Subscription based or Click-to-Run version of Office 2021 / 2021)
C:Program FilesMicrosoft OfficerootOffice16

When you are still using Office 2007 or Office 2021, it is also available in the Start Menu under:

Microsoft Office-> Microsoft Office <version> Tools-> Digital Certificate for VBA Projects
By typing “vba” in the Search field.

SelfCert is available in the Start menu when using Office 2007 or Office 2021.

Running your signed macro for the first time

Since it is the first time that you are using the certificate, you’ll be prompted what to do. Select that you’ll always trust the macros or documents from this publisher and you’re done! Now your own macros will run without any nasty security prompts and you can still enjoy Outlook with your security settings on high.

Press the “Show Signature Details” link to see that you are indeed the one who signed the macro. If you can’t trust yourself…

Signing your code

Tools-> Digital Signature…

You’ll see that the current VBA project isn’t signed yet. Press the Choose… button and you’ll get a screen to select a certificate. Now you can choose the certificate you just created.

Currently the project is unsigned.
Certificate selection dialog in Windows 10.
Certificate selection dialog in Windows 7.

Verify your macro security level

Outlook 2007
Tools-> Macro-> Security…-> option: Warnings for signed macros, all unsigned macros are disabled
Outlook 2021 / 2021 / 2021 / 2021 / Office 365
File-> Options-> Trust Center-> Trust Center Settings…-> Macro Settings-> option: Notifications for digitally signed macros, all other macros disabled

Verify that your macro security level is set correctly.
Verify that your macro security level is set correctly.

Important!Now that we’ve signed the code and verified that the security settings are set correctly, you must close Outlook. You’ll get prompted if you want save changes to your VBA project. Choose “Yes”. Once Outlook is fully closed start it again.

Добавление цифровой
подписи к файлу или проекту макроса

Для цифрового подписания файла
или проекта макроса используется цифровой сертификат.

Если цифровой сертификат
отсутствует, его необходимо получить.
Инструкции
Выполните одну из следующих
процедур.
Подписание файла
Подписание проекта макроса
1. Откройте файл, содержащий
  проект макроса, который требуется подписать.
2. В меню
  Сервис выберите команду
  Макрос, а затем — команду
  Редактор Visual Basic.
3. В области
  Project Explorer
  выберите проект, который требуется подписать.
4. В меню
  Tools выберите команду
  Digital Signature.
5. Выполните одно из
  следующих действий:
Советы
- Макросы
  следует подписывать только после их тестирования и подготовки
  к распространению, поскольку при любом изменении исходного
  текста подписанного проекта макроса его цифровая подпись
  удаляется. Однако при наличии на используемом компьютере
  подходящего цифрового сертификата проект макроса будет
  автоматически подписан заново при сохранении.
- Если требуется
  предотвратить случайное изменение пользователями проекта
  макроса и нарушение цифровой подписи, то перед тем как
  подписать проект макроса, следует заблокировать его. Цифровая
  подпись говорит лишь о том, что гарантируется безопасность
  проекта, но не является подтверждением того, что проект создан
  владельцем подписи. поэтому блокировка проекта макроса не
  позволяет избежать замены цифровой подписи другой подписью.
  Администраторы сети организации могут заново подписывать
  шаблоны и надстройки, чтобы контролировать, какие макросы
  запускаются пользователями на компьютерах.
- При создании
  надстройки, добавляющей код в проект макроса, следует
  предусмотреть возможность проверки цифровой подписи проекта и
  предупреждения пользователя о последствиях изменения
  подписанного проекта.

О цифровых подписях

Microsoft Office XP
использует технологию Microsoft Authenticode, позволяющую снабжать
проекты макросов и файлы цифровой подписью с использованием цифрового
сертификата. Сертификат, используемый для создания подписи,
подтверждает, что макрос или документ получен от владельца подписи, а
подпись подтверждает, что макрос или документ не был изменен.

Центры выдачи цифровых
сертификатов

Цифровой сертификат
можно получить в коммерческом центре сертификации, таком как
VeriSign, Inc., у администратора внутренней безопасности или у
специалиста по информационным технологиям. Цифровую подпись также
можно создать самостоятельно с помощью программы Selfcert.exe.

Примечание. Поскольку
самостоятельно созданный сертификат не был выдан официальным центром
сертификации, макросы, подписанные с использованием такого
сертификата, называют макросами с автоподписью. Сертификаты,
созданные пользователем самостоятельно, рассматриваются как
неподтвержденные и при высоком или среднем уровне безопасности
приводят к выводу предупреждения в диалоговом окне
Предупреждение системы
безопасности. Действующие в организации правила использования
средств цифровой подписи Microsoft Office могут запрещать
использование таких сертификатов, а также запуск макросов с
автоподписью другими пользователями.

Коммерческие
центры сертификации

Для получения
цифрового сертификата от коммерческого центра сертификации, такого
как VeriSign, Inc., необходимо подать заявку в этот центр.

Дополнительные
сведения о центрах сертификации, обслуживающих продукты корпорации
Майкрософт, см. на веб-узле Microsoft Security Advisor.

В зависимости от
статуса разработчика макросов может быть выдан сертификат для
разработчиков макросов класса 2 или класса 3.

Цифровой сертификат класса 2
предназначен для тех, кто разрабатывает программное обеспечение
как частное лицо. Этот класс цифровых сертификатов фактически
удостоверяет личность индивидуального разработчика.
Цифровой сертификат класса 3
предназначен для организаций, занимающихся разработкой
программного обеспечения. Данный класс цифровых сертификатов
обеспечивает боле высокую надежность идентификации
организации-разработчика программного обеспечения. Сертификаты
класса 3 разработаны для обеспечения степени точности
идентификации, соответствующей требованиям, предъявляемым к
поставщикам программного обеспечения, распространяющим свою
продукцию через коммерческую сеть дилеров. Организация, подающая
заявку на сертификат класса 3, должна как минимум удовлетворять
требованиям к финансовой стабильности, основанным на данных
оценки, публикуемых компанией Dun & Bradstreet Financial Services.

При выдаче цифрового
сертификата даются инструкции по его установке на компьютер,
используемый для подписания разрабатываемых решений для Microsoft
Office.

Внутренние
центры сертификации

В некоторых
организациях и корпорациях может иметься администратор безопасности
или отдел, выполняющий функции собственного центра сертификации и
создающий или распространяющий цифровые сертификаты с помощью таких
инструментов как Microsoft Certificate Server. Microsoft Certificate
Server может работать как автономный центр сертификации или как
часть существующей иерархии центров сертификации. В зависимости от
того, как возможности цифровых подписей Microsoft Office
используются в данной организации, разработчику может быть разрешено
подписывать макросы, используя цифровой сертификат внутреннего
центра сертификации компании, либо это за него должен будет делать
администратор, используя утвержденный сертификат. Сведения о
политике организации можно получить у сетевого администратора или в
отделе информационных технологий.

Подписание собственных файлов и
макросов

Примечание. При
добавлении в файл цифровой подписи важно понимать, что цифровая
подпись, создаваемая Microsoft Office, может не иметь юридической силы
во всех штатах США, провинциях Канады или в других странах.

Прежде чем
использовать цифровую подпись в качестве официальной личной подписи,
ознакомьтесь с законодательством соответствующей страны или региона.
Также следует понимать, что в некоторых ситациях проверить
действительность цифрового сертифката, на котором основана цифровая
подпись, невозможно.

Просмотр цифровых
сертификатов для файла или проекта макроса

Просматривая сведения о цифровом
сертификате определите по значениям полей
Кому выдан и Кем выдан,
является ли его источник надежным. По значению поля Действителен с
определите, является ли сертификат текущим.

Выполните одну из следующих
процедур.

Просмотр сертификатов для файла

Просмотр сертификатов для
проекта макроса

Если задан средний или высокий
уровеньбезопасности макросов, перед открытием файла,
содержащего макросы,
подписанные с использованием подозрительных сертификатов, будет
выводиться предупреждение. В диалоговом окне предупреждения имеется
кнопка Подробности, позволяющая просмотреть свойства
сертификата.

Чтобы просмотреть сертификаты
для уже открытого файла, выполните следующие действия.

В меню
Сервис выберите команду
Макрос, а затем — команду
Редактор Visual Basic.
В окне проекта выберите
нужный проект макроса.
Выберите командуDigital Signature в меню
Tools.
В диалоговом окне
Цифровая подпись нажмите
кнопку Подробности, чтобы
просмотреть сведения о сертификате.

Примечание. Кнопка
Подробности отображается только в
том случае, если к проекту присоединена цифровая подпись.

Системные программы для работы с сертификатами, страница 5

Самоподписанный сертификат может быть также создан с
помощью программы selfcert.exe,
входящей в комплект поставки пакета Microsoft Office XP и более поздних версий (в версии Microsoft Office
2003 вызов этой программы возможен через меню Пуск | Microsoft Office | Средства Microsoft Office | Цифровой сертификат для
проектов VBA).

При создании самоподписанного сертификата (вместе с
соответствующим ему секретным ключом ЭЦП) программа Selfcert.exe запросит имя
владельца сертификата, а после успешного завершения процедуры создания выдаст
соответствующее сообщение.

Созданный таким образом сертификат будет помещен в
хранилище My. Сертификат будет предназначен для
подписания кода, а срок его действия будет составлять 6 лет (начиная с первого
дня текущего года). Для хранения ключей будет создан контейнер SelfSignedCerts.

Чтобы самоподписанный сертификат мог использоваться
для удостоверения сообщений и других сертификатов он должен быть экспортирован
в хранилище доверенных корневых сертификатов.

Утилита Cert2SPC создает тестовый сертификат
издателя программного обеспечения (Software Publisher Certificate, SPC), используя уже существующие сертификаты.
Эта утилита может объединить несколько сертификатов в одном закодированном
документе формата PKCS #7. Сертификат SPC для реального использования должен быть получен в одном из
удостоверяющих центров.

Формат строки вызова утилиты Cert2SPC:

Cert2SPC cert1.cercert2.cer. . .certN.ceroutput.spc

Здесь cert1.cer, cert2.cer, . . ., certN.cer означают имена
файлов с сертификатами, включаемыми в SPC
(расширение .cer обязательно), а output.spc – имя выходного файла с сертификатом SPC (расширение .spc обязательно).

В приводимом далее примере сертификат из файла MyCert.cer преобразуется в SPC, который помещается в файл MyCert.spc.

Cert2SPC MyCert.cer MyCert.spc

Для преобразования файлов с секретным (личным,
закрытым) ключом в формате PVK и
сертификатом открытого ключа издателя программного обеспечения в формате SPC в файл обмена персональной
информацией формата PFX может
использоваться утилита командной строки pvk2pfx. Формат строки вызова этой утилиты:

pvk2pfx /pvk pvk-файл
[/pi pvk-пароль] /spc spc-файл

Тип создаваемого ключа
асимметричного шифрования (signature
(1) – ключ ЭЦП, exchange (2)
– ключ обмена, 3 – ключ ЭЦП и обмена); если опция не задана, то тип
определяется типом используемых файла или контейнера ключей (если в
контейнере есть разные ключи, то вначале MakeCert
пытается создать ключ ЭЦП, а затем – ключ обмена)

Создание собственного
цифрового сертификата

Поскольку самостоятельно
созданный цифровой сертификат не был выдан официальным центром
сертификации, подписанные с использованием такого сертификата проекты
макросов называют проектами с автоподписью. Сертификаты, созданные
пользователем самостоятельно, рассматриваются как неподтвержденные и
при высоком или среднем уровне безопасности приводят к выводу
предупреждения системыбезопасности.

В проводнике Microsoft Windows
найдите и дважды щелкните файл
SelfCert.exe (обычно он располагается в папке C:Program FilesMicrosoft
OfficeOffice10).
Если файл SelfCert.exe
отсутствует на компьютере, может потребоваться его установка.
Инструкции
Следуйте инструкциям в
диалоговом окне
Создание цифрового сертификата.