向 Office 解决方案授予信任
向 Office 解决方案授予信任意味着修改每个最终用户的安全策略以信任解决方案程序集、应用程序清单、部署清单和文档。 通过使用以下一个或多个选项可以向相应的文件授予完全信任:
ClickOnce Authenticode 证书,用于标识发行者。 可以基于发行者证书向解决方案授予信任。
ClickOnce 信任提示,在证书标识发行者但发行者的证书尚未受信任时使用。
包含列表,存储最终用户在响应信任提示后所做出的信任决定。
**适用于:**本主题中的信息适用于 Microsoft Office 2010 和 2007 Microsoft Office system 的文档级项目和应用程序级项目。有关更多信息,请参见按 Office 应用程序和项目类型提供的功能。
Authenticode 证书
必须使用标识发行者的证书对所有 Office 解决方案的应用程序清单和部署清单进行签名。 证书为做出信任决策提供基础。
Visual Studio 2008 Service Pack 1 (SP1) 添加了一种不对清单进行签名即可进行部署的方法,但 Office 解决方案不支持这项功能。 所有清单都必须使用证书进行签名。
在生成时为您创建了临时证书并向其授予信任,因此在调试解决方案时将运行此解决方案。
如果使用已知的受信任证书对解决方案进行签名,则将自动安装解决方案,而不会提示最终用户做出信任决定。 有关如何获取证书以进行签名的更多信息,请参见 ClickOnce 和 Authenticode。 获得证书后,必须通过将证书添加到“受信任的发行者”列表中显式表示信任该证书。 有关更多信息,请参见如何:为 ClickOnce 应用程序向客户端计算机添加一个受信任的发行者。
如果开发人员使用临时证书对解决方案进行签名,则管理员通过使用清单生成和编辑工具 (mage.exe)(Microsoft .NET Framework 工具之一),可以用已知的受信任证书对自定义项进行重新签名。 有关对解决方案进行签名的更多信息,请参见如何:对 Office 解决方案进行签名 和如何:对应用程序和部署清单进行签名。
信任提示
如果没有信任解决方案证书的组织策略,则 ClickOnce 会提示最终用户做出信任决定。 如果最终用户向解决方案授予信任,则会创建一个包含 URL 和公钥的包含列表项以存储此信任决定。 以后运行受信任的自定义项时,将不再提示最终用户。
管理员可以禁用 ClickOnce 信任提示,或者要求只针对用 Authenticode 证书签名的解决方案进行提示。 有关如何更改 MyComputer、LocalIntranet、Internet、TrustedSites 和 UntrustedSites 区域的这些设置的更多信息,请参见如何:配置 ClickOnce 信任提示行为。
包含列表
Office 解决方案使用注册表存储明确信任的解决方案列表;此列表被命名为包含列表。 可以采用两种方式将项添加到包含列表中:
可以创建一个调用 UserInclusionList 类的 Add(AddInSecurityEntry) 方法的安装程序。
如果未显式信任或不信任解决方案,则用户将看到一条提示,提示用户做出信任决定。 如果授予信任,则会将此解决方案添加到包含列表中。
管理员可以禁用此包含列表以便最终用户无法做出信任决定。 若要更改 MyComputer、LocalIntranet、Internet、TrustedSites 和 UntrustedSites 区域的这些设置,请参见如何:配置包含列表安全性。
有关更多信息,请参见使用包含列表信任 Office 解决方案和如何:添加或移除包含列表项。