受信任廠商
在這個部分中:
管理受信任廠商
可以在每個 應用程式控制 規則節點中指定受信任廠商。受信任廠商用於列出有效的數位憑證。數位憑證是使用數位簽章將公開金鑰與身分識別相繫結的電子文件。這包括個人或組織的名稱、地址之類的資訊。數位憑證由憑證授權單位發出,用於驗證公開金鑰是否屬於個人。應用程式控制查詢每個檔案執行以偵測數位憑證的存在。如果檔案具有有效的數位憑證,而且簽署者符合「受信任廠商」清單中的項目,則允許該檔案執行,並覆寫任何「受信任擁有權」檢查。
您可以顯示「內容」對話方塊來檢查檔案是否有數位憑證。若有「數位簽章」索引標籤存在,則檔案擁有數位憑證,而您可在該索引標籤中檢視憑證的詳細資訊,其中包括簽署人資訊、進階設定,以及可顯示憑證的選項。
「受信任廠商」子節點在各個規則節點內可用於列出有效的數位憑證。
將憑證新增到受信任廠商
- 選取要新增憑證至其中的受信任廠商節點。
- 按一下「規則項目」功能區上的新增下拉式箭頭,並選取所需選項:
- 從已簽署檔案 - 選取已由您要信任之廠商簽署的已知檔案。應用程式控制 接著可識別廠商的特定簽章,以便識別來自同一廠商的其他代碼。
- 匯入檔案型存放區 - 從建立於檔案型存放區 (如憑證管理員) 的 P7B 檔案來新增憑證。
-
導覽至所需檔案,然後按一下開啟。
「驗證憑證」對話方塊會列出所有已新增憑證的名稱。「狀態」欄會顯示是否已成功驗證憑證,還是已偵測到任何錯誤。
列出的憑證有更多可用選項。反白顯示所需憑證,然後選取下列其中一個選項:
-
驗證選項 - 檢查憑證狀態、強制設置憑證到期日期,以及套用進階憑證選項。
如需詳細資訊,請參閱驗證選項。
- 檢視憑證 - 檢視有關所選憑證的更多資訊。
- 移除 - 移除所選憑證並防止新增這些項目至受信任廠商端。配合使用 Shift 與 Ctrl 鍵即可選取並移除多個憑證。
-
- 按一下確定。
列出的憑證會新增至「受信任廠商」工作區域。
驗證選項
適用於受信任廠商的驗證選項可讓您透過忽略或允許特定屬性的方式,指定驗證憑證的參數。憑證必須有效,規則才適用,但是您可以使用不同層級的驗證來設定憑證。
按一下驗證選項,即可在新增檔案的中繼資料時使用進階選項。
使用「進階憑證」選項來變更設定,可能會降低驗證憑證時所需的安全性層級。
「驗證選項」對話方塊會顯示憑證的目前狀態,並允許存取「到期日期」和「進階憑證」等選項。可用的驗證選項如下:
- 受信任廠商的憑證
- 允許或拒絕的檔案及資料夾的中繼資料
在新增憑證時,應用程式控制 會檢查其是否為有效項目並於「目前驗證狀態」訊息方塊中顯示檢查結果。每當此對話方塊內選項更新時便會執行檢查。例如,憑證有可能因為不受信任根憑證的關係而導致無效。若隨後選取了允許未受信任的根選項,應用程式控制 會再次檢查憑證並更新狀態以說明憑證驗證是否成功。
您還能選擇是否要強制設置憑證的到期日期。預設設定是 應用程式控制 會忽略憑證的到期日期,這樣憑證便可永久保持有效。若您選擇要強制設置到期日期,則憑證會在該日期過後變為未驗證狀態,而且廠商也不再受信任。
進階憑證選項:
進階憑證選項可讓您透過忽略或允許特定屬性的方式,指定驗證憑證的參數。憑證必須有效,規則才適用,但是您可以使用不同層級的驗證來設定憑證。
使用「進階憑證」選項來變更設定,可能會降低驗證憑證時所需的安全性層級,並會造成安全性風險。
在判斷憑證驗證時套用下列設定:
- 忽略 CTL 撤銷錯誤 - 取得「憑證信任清單」(CTL) 撤銷時忽略錯誤。
- 忽略 CA 撤銷錯誤 - 取得「憑證授權單位」(CA) 撤銷時忽略錯誤。
- 忽略結尾憑證撤銷錯誤 - 取得結尾憑證或使用者憑證、撤銷不明時忽略錯誤。
- 忽略根撤銷錯誤 - 取得有效的根撤銷時忽略錯誤。
- 忽略 CTL 非有效時間錯誤 - 忽略憑證信任清單無效,例如,憑證可能已過期。
-
忽略時間巢狀錯誤 - 忽略「憑證授權單位」(CA) 憑證及已發行憑證具有非巢狀的有效期間。
CA 憑證可能自 1 月 1 日起至 12 月 1 日有效,發行的憑證則自 1 月 2 日起至 12 月 2 日。這便表示有效期間並非巢狀。
- 忽略基本限制錯誤 - 忽略基本限制無效。
- 忽略無效名稱錯誤 - 忽略憑證的名稱無效。
- 忽略無效原則錯誤 - 忽略憑證有無效原則。
- 忽略無效用法錯誤 - 忽略憑證並非針對目前的用法所發行。
- 允許未受信任的根 - 忽略因憑證授權單位不明而無法驗證根。