注意:

本文提供针对 Acrobat XI 的相关说明。如果您使用的是 Acrobat DC,请参阅 Acrobat DC 帮助

应预先设置验证首选项。这有助于确保在打开 PDF 时基于证书的签名有效,并且验证详细信息随签名一起显示。有关详细信息,请参阅设置签名验证首选项

在验证基于证书的签名后,文档信息栏中会出现一个指示签名状态的图标。其它状态详细信息将显示在“签名”面板和“签名属性”对话框中。

为基于证书的签名设置验证

收到签名文档后,可能要验证其签名以确认签名者和签名的内容。根据您配置应用程序的方式,可能会自动进行验证。检查签名的数字身份证证书状态和文档完整性的真实性可以确定签名的有效性:

  • 真实性验证确认签名者的证书或其父级证书是否存在于验证者的受信任身份列表中。还确认根据用户的 Acrobat 或 Reader 配置签名证书是否有效。

  • 文档完整性验证确认在签名文档后,签名的内容是否更改。如果内容发生更改,文档完整性验证将确认内容是否以签名者允许的方式更改的。

设置签名验证首选项

  1. 打开“首选项”对话框。
  2. 在“种类”下,选择“签名”。
  3. 在“验证”中,单击“更多”。
  4. 当您打开文档时,要在 PDF 中自动验证所有签名,选择“当文档打开时验证签名”。默认情况下会选中此选项。
  5. 根据需要选择验证选项,然后单击“确定”。

    验证行为

     

    当验证时

    当验证签名时,这些选项指定决定要选择哪些增效工具的方法。相关的增效工具通常是自动选择的。为验证签名,联系您的系统管理员关于指定增效工具的要求。

     

    要求在验证签名时尽可能执行证书吊销检查...

    验证期间对照已排除证书的列表检查证书。默认情况下会选中此选项。如果不选择该选项,则会忽略批准签名的吊销状态。为验证签名总是检查吊销状态。

     

    验证时间

     

    验证签名使用

    选择用于指定如何检查基于证书的签名有效性的选项。默认情况下,您可以根据签名的创建时间来检查时间。或者,根据当前时间或签名文档时时间戳服务器设置的时间来进行检查。

     

    使用过期时间戳

    即使签名证书已过期,也使用时间戳提供的安全时间或嵌入在签名中的安全时间。默认情况下会选中此选项。如果不选择此项,则可以忽略过期时间戳。

     

    验证信息

    指定是否向已签名的 PDF 中添加验证信息。当验证信息过大时,默认情况下将向用户发出警告。

    Windows 集成

    指定在确认签名和已验证的文档时是否信任“Windows 证书”功能中的所有根证书。选择这些选项可能会危及安全性。

     

    注意:

    建议不要信任 Windows 证书功能中的所有根证书。Windows 中分发的许多证书的设计目的并不是建立可信任身份。

设置证书的信任级别

Acrobat 或 Reader 中,如果您和签名者存在信任关系,则已验证或已签名的文档的签名是有效的。证书的信任级别指示您信任签名者的哪些动作。

您可以更改证书的信任设置以允许特定的动作。例如,您可以更改设置以在验证的文档中启用动态内容和嵌入 JavaScript。

  1. 打开“首选项”对话框。
  2. 在“种类”下,选择“签名”。
  3. 对于“身份与可信任证书”,请单击“更多”。
  4. 从左侧选择“可信任证书”。
  5. 从列表中选择一个证书,然后单击“编辑信任”。
  6. 在“信任”标签中,选择以下任一项目来信任本证书:

    将本证书用作可信任根

    根证书是颁发证书的证书颁发机构链中的原始颁发机构。通过信任根证书,您可以信任由证书颁发机构办法的所有证书。

    签名的文档或数据

    确认签名者的身份。

    已验证的文档

    信任作者用签名验证的文档。您信任签名者进行验证文档,并且您接受验证文档所采取的动作。

    选择该选项后,即可选择下列选项:

    动态内容

    允许电影、声音和其它动态元素在已验证的文档中播放。

     

    嵌入的高优先级 JavaScript

    允许嵌入在 PDF 文档中的特权 JavaScript 运行。JavaScript 文件可被恶意利用。仅当需要时对您所信任的证书选择此选项是谨慎的。

     

    特权系统操作

    允许对经过验证的文档执行因特网连接、跨域脚本编写、静默打印、外部对象参考和导入/导出方法操作。

     

    注意:

    仅允许您信任并与之紧密合作的来源使用“嵌入的高特权 JavaScript”和“特权系统操作”。例如,对您的雇主或服务提供商使用这些选项。

  7. 单击“确定”,关闭“数字身份证和可信任证书设置”对话框,然后在“首选项”对话框中单击“确定”。

有关更多信息,请参阅《数字签名指南》(PDF),网址为:www.adobe.com/go/learn_acr_security_cn

基于证书的签名的“签名”面板

签名”面板可显示有关当前文档中的每个基于证书的签名的信息,以及文档自第一个基于证书的签名之后的更改历史记录。每个基于证书的签名都有一个图标,用以标识其验证状态。验证详细信息列在每个签名下,并可通过展开签名来查看。“签名”面板也可提供有关文档签名的时间、信任和签名者的详细信息。

验证“签名”面板中的签名
验证“签名”面板中的签名

  1. 选择“视图”>“显示/隐藏”>“导览窗格”>“签名”,或者单击文档信息栏中的“签名面板”按钮。

注意:

您可以右键单击“签名”面板中的签名域来完成大多数和签名相关的任务,包括添加、清除和验证签名。可是,在某些情况下,您签名后,系统可能会锁定签名域。

验证基于证书的签名

如果签名状态是未知或未验证,请手动验证签名以确定问题和可能的解决方案。如果签名状态无效,请与签名者联系来解决该问题。

有关签名警告和有效及无效签名的更多信息,请参阅 Digital Signature Guide (PDF),网址为:www.adobe.com/go/learn_acr_security_cn

您可以通过检查签名属性来查看基于证书的签名有效性。

  1. 设置您的签名验证首选项。有关详细信息,请参阅设置签名验证首选项
  2. 打开包含签名的 PDF,然后单击该签名。“签名验证状态”对话框描述了签名的有效性。
  3. 有关签名和时间戳的更多信息,请单击“签名属性”。
  4. 查看“签名属性”对话框中的“有效性小结”。该小结可能显示以下消息之一:

    签名日期/时间来自签名者计算机上的时钟

    时间建立在签名者计算机的当地时间基础上。

    签名包含时间戳

    签名者使用时间戳服务器,您的设置指示您与时间戳服务器之间存在信任关系。

    签名包含时间戳,但无法验证该时间戳

    时间戳验证需要将从时间戳服务器获得的证书添加到您的可信任身份列表中。与系统管理员协商。

    签名包含时间戳,但时间戳已过期

    Acrobat 和 Reader 根据当前时间验证时间戳。如果时间戳签名者的证书在当前时间之前已过期,将显示该消息。要允许 Acrobat 或 Reader 接受过期的时间戳,请在“签名验证首选项”对话框(“首选项”>“签名”>“验证: 更多”)中选择“使用已过期时间戳”。验证包含已过期时间戳的签名时,Acrobat 和 Reader 中会显示一条警告消息。

  5. 有关签名者的证书(如签名的信任设置或法律限制)的详细信息,请在“签名”的属性对话框中单击“显示签名者的证书”。

    如果文档在签名后被修改,请检查文档的已签名版本并和当前版本进行比较。

查看已数字签名的文档的上一版本

每次使用证书签名文档时,此时 PDF 的已签名版本将随该 PDF 一起保存。每一个版本仅作为主文件的追加部分加以保存,无法修改原始版本。所有基于证书的签名及其相应的版本将可以在“签名”面板中访问。

  1. 在“签名”面板中,选择并展开签名,然后从选项菜单 中选择“查看签名版本”。

    前一版本在新的 PDF 中打开,版本信息和签名者的名字显示在标题栏中。

  2. 要返回到原始文档,请从“窗口”菜单关闭文档名称。

比较签名文档的版本

在文档被签名之后,您可以显示文档在上一版本后所做更改的列表。

  1. 在“签名”面板中,选择签名。
  2. 从选项菜单 中选择“比较签名版本与当前版本”。
  3. 当您完成时,关闭临时文档。

信任签名者的证书

如果信任某证书,则需要在可信任身份管理器中将其添加到用户的可信任身份列表中并手动设置其信任级别。当使用证书安全性时,最终用户经常在需要时交换证书。或者,他们直接从签名文档中的签名添加证书,然后设置信任级别。但是,企业常常需要员工验证其他人的签名,而无需执行任何手动任务。Acrobat 信任用于签名和验证的、链接到信任锚的所有证书。因此,管理员应预配置客户端安装或让他们的最终用户添加信任锚或锚。有关信任证书的更多信息,请参阅关于数字签名

PDF 包和基于证书的签名

可以签名 PDF 包内的组件 PDF,也可以将 PDF 包作为整体进行签名。签名组件 PDF 时会锁定该 PDF 进行编辑,从而保护其内容。签名所有组件 PDF 之后,您可以签名整个 PDF 包以完成这个包。或者,也可以将 PDF 包作为整体进行签名,以便同时锁定所有组件 PDF 的内容。

  • 要签名组件 PDF,请参阅签名 PDF。签名的 PDF 将自动保存到 PDF 包中。

  • 要将 PDF 包作为整体进行签名,请签名封面(“视图”>“包”>“封面”)。在将 PDF 包作为整体签名之后,您无法将签名添加到组件文档中。但是,您可以向封面中添加更多的签名。

组件 PDF 的附件上的基于证书的签名

签名封面之前,可以将签名添加到附件。要向附加的 PDF 应用签名,请在单独的窗口中打开 PDF。右键单击附件,然后从上下文菜单中选择“打开文件”。要查看 PDF 包上的签名,请导览至封面,以查看文档消息栏和签名窗格。

已签名和验证的 PDF 包

经过正确签名或验证的 PDF 包有一个或多个用于审批或验证该 PDF 包的签名。最有效的签名显示在工具栏的“签名徽章”中。所有签名的详细信息均显示在封面中。

已签名和验证的 PDF 包
签名徽章提供了一种用于验证 PDF 包是否经过审批或验证的快捷方式。
  • 要查看签名 PDF 包的组织或人员的名称,请将指针悬停在“签名徽章”上。

  • 要查看“签名徽章”中显示的签名的详细信息,请单击“签名徽章”。封面和左侧的“签名”窗格将打开并显示详细信息。

如果 PDF 包审批或验证无效或有问题,“签名徽章”会显示一个警告图标。要查看该问题的解释,请将指针悬停在带有警告图标的签名徽章上。不同的情况会显示不同的警告图标。

有关警告列表和每条警告的解释,请参阅《数字签名管理指南》,网址为:www.adobe.com/go/learn_acr_security_cn

XML 数据签名

Acrobat 和 Reader 支持用于签名 XML 表单体系结构 (XFA) 表单中的数据的 XML 数据签名。表单作者可提供有关表单事件(例如单击按钮、保存文件或提交文件)的 XML 签名、验证或清除说明。

XML 数据签名符合 W3C XML-Signature 标准。与 PDF 数字签名一样,XML 数字签名确保文档的完整性、身份验证和不可否认性。

但是,PDF 签名拥有多个数据验证状态。当用户更改 PDF 签名的内容时,将调用一些状态。相比之下,XML 签名仅有两个数据验证状态,即有效和无效。当用户更改 XML 签名的内容时,将调用无效状态。

建立长期签名验证

长期签名验证可用来在文档签名较长时间之后检查签名的有效性。要实现长期验证,已签名的 PDF 中必须嵌入签名验证的所有必需元素。在文档签名时或创建签名后,就会嵌入这些元素。

如果 PDF 中不加入特定信息,签名只在有限时间内有效。产生这种限制的原因是与签名相关的证书最终会过期或被吊销。一旦证书过期,证书颁发机构就不再负责提供该证书的吊销状态。如果不符合吊销状态,就无法验证签名。

确立签名有效性的必要元素包括签名证书链、证书吊销状态,或者时间戳。如果必要元素可用并在签名时嵌入,则通过外部资源获得验证信息即可验证签名。如果必要元素可用,Acrobat 和 Reader 就可嵌入这些元素。PDF 创建者必须为 Reader 用户启用使用权限(“文件”>“另存为其它”>“Reader 扩展的 PDF”)。

注意:

需要有适当配置的时间戳服务器才能嵌入时间戳信息。此外,签名验证时间必须设置为“安全时间”(“首选项”>“安全性”>“高级首选项”>“验证”标签)。CDS 证书可以将验证信息(如吊销和时间戳)添加到文档中,而签名者无需进行任何配置。然而,签名者必须处于联机状态才能获取相应信息。

签名时添加验证信息

  1. 确保计算机可以连接到适当的网络资源。

  2. 确保首选项“包括签名吊销状态”仍为选定状态(“首选项”>“签名”>“创建和外观: 更多”)。默认情况下会选择该首选项。

  3. 签名 PDF。

如果证书链的所有元素均可用,则信息会自动添加到 PDF 中。如果配置了时间戳服务器,则也会添加时间戳。

签名后添加验证信息

在有些工作流程中,签名验证信息在签名时不可用,但可在以后获得。例如,某位公司官员在乘坐飞机旅行时可能使用便携式电脑签署一份合同。该计算机无法连接 Internet 获得要加入到签名中的时间戳和吊销信息。当以后可以访问因特网时,任何验证该签名的人均可将此信息加入到 PDF 中。随后的所有签名验证也都可以使用此信息。

  1. 确保您的计算机可以连接到适当的网络资源,然后右键单击 PDF 中的签名。

  2. 选择“添加验证信息”。

在 PDF 中包含此长期验证 (LTV) 信息所用的信息和方法符合 ETSI 102 778 PDF Advanced Electronic Signatures (PAdES) 标准的第 4 部分。有关详细信息,请参阅 blogs.adobe.com/security/2009/09/eliminating_the_penone_step_at.html。如果签名无效或是使用自签名证书签名,此命令将不可用。如果验证时间等于当前时间,此命令也不可用。

本产品经 Creative Commons Attribution-Noncommercial-Share Alike 3.0 Unported License 许可  Twitter™ 与 Facebook 中的内容不在 Creative Commons 的条款约束之下。

法律声明   |   在线隐私策略