Zertifikatbasierte Signaturen

Suchen
Adobe Acrobat Benutzerhandbuch

Auf dieser Seite

Gilt für: Adobe Acrobat 2017 Adobe Acrobat 2020 Adobe Acrobat DC

某些 Creative Cloud 应用程序、服务和功能在中国不可用。

Eine zertifikatbasierte Signatur identifiziert, wie eine von Hand ausgeführte Signatur, die Person, die ein Dokument unterschreibt. Im Gegensatz zur handschriftlichen Signatur ist eine zertifikatbasierte Signatur fast fälschungssicher, da sie verschlüsselte Informationen enthält, die den Unterzeichnenden eindeutig ausweisen. Sie kann einfach verifiziert werden und lässt den Empfänger erkennen, ob das Dokument nach dem Signieren verändert wurde.

Um ein Dokument mit einer zertifikatbasierten Signatur signieren zu können, müssen Sie eine digitale ID anfordern oder eine eigene digitale ID in Acrobat oder Adobe Reader erstellen. Die digitale ID enthält einen privaten Schlüssel und ein Zertifikat mit einem öffentlichen Schlüssel sowie andere Daten. Der private Schlüssel wird zur Erstellung der zertifikatbasierten Signatur verwendet. Das Zertifikat ist ein automatisch auf das signierte Dokument angewendeter Identitätsnachweis. Öffnet der Empfänger das Dokument, wird die Signatur verifiziert.

Wenn Sie eine zertifikatbasierte Signatur verwenden, erstellt Acrobat mit Hilfe eines Hash-Algorithmus eine Meldungszusammenfassung, die mit dem privaten Schlüssel verschlüsselt wird. In Adobe werden die verschlüsselte Nachrichtenzusammenfassung, die Zertifikatsinformationen, das Signaturbild und eine Dokumentversion zum Zeitpunkt der Unterzeichnung in die PDF-Datei eingebettet.

Zertifikatbasierte Signatur in einem PDF-Formular
Zertifikatbasierte Signatur in einem PDF-Formular

Dokumente zertifizieren und signieren

Im Bereich „Signieren“ > „Arbeiten mit Zertifikaten“ können Sie zwei Arten zertifikatbasierter Signaturen anwenden. Sie können ein Dokument zertifizieren, um seinen Inhalt zu bestätigen, oder ein Dokument mit der Option „Signieren mit Zertifikat“ bestätigen.

Zertifizieren

Zertifizierungsoptionen bieten einen höheren Grad an Dokumentkontrolle als die Option „Signieren mit Zertifikat“. Bei Dokumenten, die eine Zertifizierung erfordern, müssen Sie die Dokumente bestätigen, bevor andere sie signieren. Wenn ein Dokument bereits signiert wurde, sind die Zertifizierungsoptionen deaktiviert. Beim Zertifizieren eines Dokuments können Sie die Änderungen, die andere Personen vornehmen können, steuern. Außerdem können Sie beim Zertifizieren auswählen, ob Sie die Signatur anzeigen.

Signieren mit Zertifikat

Wenn Sie mit einem Zertifikat signieren, wird die Signatur als Genehmigungssignatur betrachtet.

Signaturen, die mit Zertifizierungsoptionen oder der Option „Signieren mit Zertifikat“ vorgenommen werden, entsprechen den Datenschutzstandards des Europäischen Instituts für Telekommunikationsnormen (ETSI). Beide digitalen Signaturtypen entsprechen ferner der PAdES-Norm (PDF Advanced Electronic Signature). In Acrobat und Reader steht eine Option zum Ändern des Standardsignierformats in ein CAdES-Format zur Verfügung. Die Option entspricht Teil 3 der PAdES-Norm. Die Zeitstempelfunktion und der integrierte Support für langfristige Signaturvalidierung (Einführung in Acrobat 9.1) entspricht Teil 4 der PAdES-Norm. Ist das Standard-Signaturformat korrekt eingerichtet, entspricht es Teil 2 der PAdES-Norm. Im Fenster „Signaturen“ des Dialogfelds „Voreinstellungen“ können Sie die Standardmethode und das Standardformat für das Signieren ändern. Klicken Sie unter „Erstellung & Erscheinungsbild“ auf „Mehr“.

Zertifikatbasierte Signaturen einrichten

Mit Hilfe der folgenden vorbereitenden Maßnahmen lassen sich der Signaturvorgang beschleunigen und die Ergebnisse optimieren.

Hinweis:

In manchen Situationen ist für das Unterschreiben eine bestimmte digitale ID erforderlich. In einem Unternehmen oder einer Behörde kann die z. B. Auflage bestehen, dass zum Unterschreiben offizieller Dokumente nur digitale IDs verwendet werden dürfen, die von dieser Behörde ausgegeben wurden. Informieren Sie sich über die Richtlinien zu digitalen Signaturen in Ihrem Unternehmen, um zu erfahren, welche Quelle Sie für Ihre digitale ID verwenden müssen.

  • Beschaffen Sie eine digitale ID von Ihrer Organisation, erwerben Sie eine digitale ID (siehe Adobe-Website für Sicherheitspartner) oder erstellen Sie eine eigene digitale ID. Siehe Eigene digitale ID erstellen. Zertifikatbasierte Signaturen können nur mit einer digitalen ID angewendet werden.

  • Legen Sie die Standard-Signaturmethode fest.
  • Verwenden Sie den Modus Vorschau des Dokuments, um alle dynamischen Inhalte zu unterdrücken, die das Erscheinungsbild des Dokuments verändern und dazu führen, dass Sie fälschlicherweise ein ungeeignetes Dokument signieren. Weitere Informationen zum Verwenden des Dokumentvorschau-Modus finden Sie unter PDF-Dokumente im Dokumentvorschau-Modus signieren.
  • Überprüfen Sie vor dem Signieren alle Seiten in einem Dokument. Dokumente können auf mehreren Seiten Signaturfelder enthalten.

Ausführliche Informationen zu sämtlichen Konfigurationsoptionen der Unternehmenseinstellungen erhalten Sie im Digital Signatures Guide (Handbuch für digitale Signaturen).

  • Wählen Sie einen Signaturtyp aus. Machen Sie sich mit den Eigenschaften von Genehmigungs- und Zertifizierungssignaturen vertraut, um den für Ihr Dokument geeigneten Signaturtyp zu bestimmen. (Siehe Signaturtypen.)

Voreinstellungen für Signaturen festlegen

Über die Voreinstellungen für Signaturen wird festgelegt, welche Elemente für Sie sichtbar sind und welche Aktionen beim Öffnen des Signieren-Dialogfelds zur Verfügung stehen. Sie können bestimmte Aktionen zulassen, Datenfelder ein- oder ausblenden und festlegen, inwiefern Inhalte sich auf das Signieren auswirken. Über die Voreinstellungen für Signaturen wird festgelegt, was beim Signieren angezeigt wird. Weitere Informationen zu den verfügbaren Voreinstellungen für Signaturen finden Sie unter dem Thema Signing Workflow Preferences (Voreinstellungen für den Signaturvorgang) im Digital Signature Guide (Handbuch für digitale Signaturen) unter www.adobe.com/go/learn_acr_security_de.

Signaturvorgänge mit Seed-Werten anpassen

Seed-Werte bieten Dokumentverfassern zusätzliche Kontrollmöglichkeiten, da sie festlegen können, welche Auswahl Unterzeichner beim Unterschreiben eines Dokuments treffen dürfen. Durch die Verwendung von Seed-Werten für die Signaturfelder in nicht signierten PDFs können Verfasser Optionen anpassen und Aufgaben automatisieren. Sie können außerdem Signaturvorgaben für Elemente wie Zertifikate und Zeitstempelserver festlegen. Weitere Informationen zum Anpassen von Signaturen mit Seed-Werten finden Sie im Digital Signature Guide (Handbuch für digitale Signaturen – PDF) unter www.adobe.com/go/learn_acr_security_de.

Erscheinungsbild für eine zertifikatbasierte Signatur erstellen

Über die Optionen im Fenster „Signaturen“ des Dialogfelds „Voreinstellungen“ können Sie das Erscheinungsbild Ihrer zertifikatbasierten Signatur festlegen. Sie können z. B. eine Abbildung Ihrer handschriftlichen Signatur, ein Firmenlogo oder ein Foto einschließen. Erstellen Sie verschiedene Signaturen für unterschiedliche Zwecke. Einige Erscheinungsbilder sollen vielleicht detaillierter sein.

Eine Signatur kann auch Informationen enthalten, die anderen bei der Überprüfung IhrerSignaturhilft, wie der Grund für die Unterschrift, Kontaktinformationen und mehr.

Signaturformate in Acrobat
Signaturformate

A. Textsignatur B. Grafiksignatur 
  1. (Optional) Wenn Sie eine Abbildung Ihrer handschriftlichen Signatur in die zertifikatbasierte Signatur einschließen möchten, scannen Sie Ihre Signatur und speichern Sie sie als Bilddatei. Platzieren Sie das Bild in einem eigenen Dokument und konvertieren Sie das Dokument in das PDF-Format.

  2. Klicken Sie mit der rechten Maustaste auf das Signaturfeld und wählen Sie Dokument unterschreiben oder Mit sichtbarer Signatur zertifizieren.

    Hinweis:

    Sie können ein Erscheinungsbild auch mithilfe der Signaturvoreinstellungen erstellen: „Bearbeiten“ > „Voreinstellungen“ > „Signaturen“ (Windows) bzw. „Acrobat“ > „Voreinstellungen“ > „Signaturen“ (Mac OS).

  3. Wählen Sie im Menü „Erscheinungsbild“ des Unterschreiben-Dialogfelds die Option Neues Erscheinungsbild erstellen.

  4. Geben Sie im Dialogfeld „Erscheinungsbild der Signatur konfigurieren“ einen Namen für die von Ihnen erstellte Signatur ein. Beim Signieren wählen Sie die Signatur anhand dieses Namens aus. Verwenden Sie daher einen kurzen, aussagekräftigen Titel.
  5. Wählen Sie unter „Grafik konfigurieren“ eine Option aus:

    Keine Grafik

    Es werden nur das Standardsymbol und andere Informationen angezeigt, die von den Optionen unter „Text konfigurieren“ abhängen.

    Importierte Grafik

    Zeigt ein Bild mit Ihrer zertifikatbasierten Signatur an. Wählen Sie diese Option, um ein Bild Ihrer handschriftlichen Signatur einzufügen. Zum Importieren der Bilddatei klicken Sie auf „Datei“ > „Durchsuchen“ und wählen dann die gewünschte Bilddatei.

    Name

    Zeigt nur das Standardsymbol für Signaturen und Ihren Namen an, wie er in Ihrer digitalen ID-Datei hinterlegt ist.

  6. Wählen Sie unter „Text konfigurieren“ die gewünschten Optionen für die Signatur aus. „Charakteristischer Name“ zeigt die in Ihrer digitalen ID definierten Anwenderattribute an, darunter Name, Firma und Land.

  7. Geben Sie unter „Texteigenschaften“ die zu verwendende Leserichtung und den Zifferntyp an und klicken Sie auf OK. Siehe auch Rechts-nach-Links-Sprachoptionen aktivieren.

  8. (Optional) Wenn das Dialogfeld den Bereich „Weitere Informationen zu Signaturen“ enthält, geben Sie den Grund für das Unterschreiben des Dokuments, den Ort und die Kontaktinformationen ein. Diese Optionen sind nur verfügbar, wenn Sie sie im Dialogfeld mit den Voreinstellungen für „Erstellung & Erscheinungsbild“ als Ihre Voreinstellungen festlegen („Bearbeiten“ > „Voreinstellungen“ > „Signaturen“ > „Erstellung & Erscheinungsbild“ > „Mehr“).

Digitale Roaming-ID-Konten einrichten

Eine Roaming-ID ist eine auf einem Server gespeicherte digitale ID, auf die der Abonnent Zugriff hat. Für den Zugriff auf eine Roaming-ID müssen Sie über eine Internetverbindung verfügen. Sie benötigen außerdem ein Konto bei einer Organisation, die digitale Roaming-IDs bereitstellt.

  1. Öffnen Sie das Dialogfeld „Voreinstellungen“.
  2. Wählen Sie unter Kategorien Signaturen aus.
  3. Klicken Sie bei Identitäten & vertrauenswürdige Zertifikate auf Mehr.
  4. Erweitern Sie Digitale IDs auf der linken Seite, wählen Sie Roaming-ID-Konten aus und klicken Sie auf Konto hinzufügen.
  5. Geben Sie den Namen und die URL des Roaming-ID-Servers ein und klicken Sie auf Weiter.
  6. Geben Sie den Benutzernamen und das Kennwort ein oder befolgen Sie die Anweisungen zum Erstellen eines Kontos. Klicken Sie auf Weiter und dann auf Beenden.

Nach dem Hinzufügen der Roaming-ID kann diese zum Signieren und Verschlüsseln verwendet werden. Wenn Sie einen Vorgang ausführen, für den Ihre Roaming-ID erforderlich ist, wird automatisch eine Anmeldung am Roaming-ID-Server durchgeführt, falls Ihre Authentifizierungszusicherung nicht abgelaufen ist.

PKCS#12-Module und -Token

Sie können verschiedene digitale IDs für verschiedene Vorgänge verwenden, wie z. B. wenn Sie Dokumente in verschiedenen Rollen signieren oder unterschiedliche Zertifizierungsmethoden verwenden müssen. Digitale IDs sind im Allgemeinen kennwortgeschützt. Sie können im Dateiformat PKCS #12 auf Ihrem System gespeichert werden. Digitale IDs können ferner auch auf einer Smartcard, einem Hardware-Token oder im Windows-Zertifikatspeicher gespeichert werden. Roaming IDs können auf einem Server gespeichert werden. Acrobat verfügt über einen standardmäßigen Signatur-Handler, der auf digitale IDs an verschiedenen Speicherorten zugreifen kann. Sie müssen die digitale ID in Acrobat registrieren, damit diese Funktion zur Verfügung steht.

Zertifikate auf Verzeichnisservern speichern

Verzeichnisserver sind zentrale Speicherorte von Identitäten innerhalb eines Unternehmens. Der Server dient als idealer Speicherort für Benutzerzertifikate in Unternehmen, die Zertifikatverschlüsselung einsetzen. Mit Verzeichnisservern können Sie nach bestimmten Zertifikaten auf Netzwerkservern, u. a. LDAP-Servern (Lightweight Directory Access Protocol), suchen. Nachdem Sie ein Zertifikat gefunden haben, können Sie es Ihrer Liste vertrauenswürdiger Identitäten hinzufügen, so dass Sie nicht mehr danach suchen müssen. Durch die Entwicklung eines Speicherbereichs für vertrauenswürdige Zertifikate können Sie oder ein anderes Mitglied der Arbeitsgruppe die Nutzung der Verschlüsselung in Ihrer Arbeitsgruppe vereinfachen.

Weitere Informationen über Verzeichnisserver finden Sie im Digital Signature Guide (Handbuch für digitale Signaturen – PDF) unter www.adobe.com/go/learn_acr_security_de.

Einstellungen für Verzeichnisserver importieren (nur Windows)

Einstellungen für Verzeichnisserver werden mithilfe einer Import-/Export-Datei für Sicherheitseinstellungen oder über eine Sicherheitseinstellungsdatei importiert. Vor dem Importieren von Einstellungen in eine Datei mithilfe einer Import-/Export-Datei für Sicherheitseinstellungen und vor dem Öffnen der Datei müssen Sie sicherstellen, dass die Dateiherkunft als vertrauenswürdig gilt.

  1. Öffnen Sie das Dialogfeld Voreinstellungen.
  2. Wählen Sie unter Kategorien Signaturen aus.
  3. Klicken Sie bei Dokument-Zeitstempel auf Mehr.
  4. Wählen Sie auf der linken Seite die Option Verzeichnisserver aus und klicken Sie dann auf Importieren.
  5. Wählen Sie die Import-/Export-Datei für Sicherheitseinstellungen aus und klicken Sie auf Öffnen.
  6. Klicken Sie bei einer signierten Datei auf die Schaltfläche Signatureigenschaften, um den aktuellen Signaturstatus zu prüfen.
  7. Klicken Sie auf Suchverzeichniseinstellungen importieren.
  8. Klicken Sie bei entsprechender Aufforderung auf „OK“, um Ihre Auswahl zu bestätigen.

    Im Dialogfeld Sicherheitseinstellungen wird der Verzeichnisserver angezeigt.

Einstellungen für Verzeichnisserver exportieren (nur Windows)

Auch wenn der Export von Sicherheitseinstellungen zu bevorzugen ist, können Sie Verzeichniseinstellungen auch als Import-/Export-Datei für Sicherheitseinstellungen exportieren. Mit der Datei können Sie den Verzeichnisserver auf einem anderen Computer konfigurieren.

  1. Öffnen Sie das Dialogfeld Voreinstellungen.
  2. Klicken Sie unter Kategorien auf Identität.
  3. Geben Sie Ihren Namen, Ihr Unternehmen und Ihre E-Mail-Adresse ein, um das Profil zu erstellen.
  4. Wählen Sie unter Kategorien Signaturen aus.
  5. Klicken Sie bei Dokument-Zeitstempel auf Mehr.
  6. Klicken Sie auf der linken Seite auf die Option Verzeichnisserver und wählen Sie auf der rechten Seite die gewünschten Server aus.
  7. Klicken Sie auf Exportieren, wählen Sie ein Ziel aus und klicken Sie auf Weiter.
  8. Klicken Sie zum Nachweisen, dass die Datei von Ihnen stammt, auf Unterschreiben, fügen Sie Ihre Signatur hinzu und klicken Sie dann auf Weiter.
  9. Führen Sie einen der folgenden Schritte aus:

    • Zum Speichern der Datei geben Sie den Dateinamen und Speicherort an. Klicken Sie anschließend auf Speichern.

    • Wenn Sie die Datei als E-Mail-Anhang senden möchten, geben Sie die E-Mail-Adresse in das Feld „An“ ein, klicken Sie auf Weiter und dann auf Fertig stellen.

    Hinweis:

    Siehe auch Sicherheitseinstellungen exportieren.

Zeitstempel zu zertifikatbasierten Signaturen hinzufügen

Sie können Ihrer zertifikatbasierten Signatur Datum und Uhrzeit der Signatur des Dokuments hinzufügen. Zeitstempel sind leichter zu prüfen, wenn sie einem vertrauenswürdigen Zertifikat einer Zertifizierungsstelle zugewiesen sind. Mithilfe von Zeitstempeln können Sie festhalten, wann Sie das Dokument unterzeichnet haben. So wird das Risiko einer ungültigen Signatur verringert. Zeitstempel erhalten Sie bei der Zertifizierungsstelle, die Ihre digitale ID ausgegeben hat, oder bei einer anderen Ausgabestelle für Zeitstempel.

Zeitstempel werden im Signaturfeld und im Dialogfeld Signatureigenschaften angezeigt. Wird ein Zeitstempelserver konfiguriert, wird der Zeitstempel auf der Registerkarte „Datum/Uhrzeit“ im Dialogfeld Signatureigenschaften angezeigt. Wird kein Zeitstempelserver konfiguriert, zeigt das Signaturfeld die lokale Uhrzeit des Computers zum Zeitpunkt der Signatur an.

Hinweis:

Wenn Sie keinen Zeitstempel beim Unterzeichnen des Dokuments eingebettet haben, können Sie später einen zu Ihrer Signatur hinzufügen. (Siehe auch Einrichten einer langfristigen Signaturvalidierung.) Ein Zeitstempel, der nach dem Unterzeichnen eines Dokuments angewendet wurde, verwendet die vom Zeitstempelserver vorgegebene Zeit.

Zeitstempelserver konfigurieren

Zur Konfiguration des Uhrzeitstempelservers benötigen Sie den Servernamen und die URL. Wenden Sie sich diesbezüglich an den jeweiligen Administrator oder entnehmen Sie die Daten einer Sicherheitseinstellungsdatei.

Wenn eine Datei mit Sicherheitseinstellungen vorhanden ist, sollten Sie diese Datei installieren und die folgenden Anweisungen zum Konfigurieren eines Servers nicht beachten. Stellen Sie sicher, dass die Herkunft der Sicherheitseinstellungsdatei als vertrauenswürdig gilt. Informieren Sie den Systemadministrator oder die IT-Abteilung, bevor Sie die Datei installieren.

  1. Öffnen Sie das Dialogfeld Voreinstellungen.
  2. Wählen Sie unter Kategorien Signaturen aus.
  3. Klicken Sie bei Dokument-Zeitstempel auf Mehr.
  4. Wählen Sie links Zeitstempelserver.
  5. Führen Sie einen der folgenden Schritte aus:

    • Wenn Sie über eine Import-/Export-Datei für Sicherheitseinstellungen mit den Uhrzeitstempelserver-Einstellungen verfügen, klicken Sie auf die Schaltfläche Importieren . Wählen Sie die Datei aus und klicken Sie auf Öffnen.

    • Wenn Sie über eine URL-Adresse für den Zeitstempelserver verfügen, klicken Sie auf die Schaltfläche Neu . Geben Sie einen Namen und dann die Server-URL ein. Legen Sie fest, ob für den Server Benutzername und Kennwort notwendig sind, und klicken Sie auf OK.

Zeitstempelserver als Standard festlegen

Zur Verwendung eines Zeitstempelservers für Zeitstempelsignaturen müssen Sie diesen als Standardserver einrichten.

  1. Öffnen Sie das Dialogfeld Voreinstellungen.
  2. Wählen Sie unter Kategorien Signaturen aus.
  3. Klicken Sie bei Dokument-Zeitstempel auf Mehr.
  4. Wählen Sie links Zeitstempelserver.
  5. Wählen Sie den Zeitstempelserver aus und klicken Sie auf die Schaltfläche Standardeinstellung festlegen .
  6. Klicken Sie auf OK, um Ihre Auswahl zu bestätigen.

Adobe LiveCycle Rights Management-Server (ALCRM)

Mithilfe von ALCRM-Servern (Adobe LiveCycle Rights Management) können Sie zentralisierte Richtlinien zur Kontrolle des Zugriffs auf Dokumente definieren. Die Richtlinien werden auf dem ALCRM-Server gespeichert. Zu Verwendung der Richtlinien müssen Sie Zugriff auf den Server haben.

Auf ALCRM-Servern werden Benutzerzugangsdaten in Dokumenten gespeichert. Aus diesem Grund müssen Sie in den ALCRM-Richtlinien die Dokumentempfänger angeben. Sie können den ALCRM-Server auch zum Abrufen einer Empfängerliste aus den LDAP-Verzeichnissen veranlassen.

Verwenden Sie den ALCRM-Server zum Einrichten von Berechtigungen für unterschiedliche Dokumentaufgaben wie Öffnen, Bearbeiten oder Drucken von Dokumenten. Sie können außerdem Dokumentprüfungsrichtlinien auf ALCRM-Servern definieren.