基于证书的签名

搜索
Adobe Acrobat

Adobe Acrobat

在 Web 上打开

基于证书的签名类似于传统的手写签名,可标识签名文档的人员。与手写签名不同,数字签名难以伪造,因为其包含签名者唯一的加密信息。数字签名易于验证,且可以通知收件人在签名者首次签名文档后文档是否已修改。

要使用基于证书的签名来签名文档,必须获得数字身份证或者在 Acrobat 或 Adobe Reader 中创建自签名数字身份证。数字身份证由私钥与包含公钥和其他内容的证书组成。私钥用于创建基于证书的签名。证书是自动应用于签名文档的凭据。将在收件人打开文档时验证签名。

当您应用基于证书的签名时,Acrobat 使用哈希算法来生成信息摘要,并用您的私钥加密。Acrobat 将在 PDF、证书详细信息、签名图像和文档的签名版本中嵌入加密的信息摘要。

PDF 表单中的基于证书的签名
PDF 表单中的基于证书的签名

验证并签名文档

通过“签名”>“使用证书”面板,您可以应用两种类型的基于证书的签名。您可以验证文档的内容,或使用“使用证书进行签名”选项批准文档。

验证

“验证”选项与“使用证书进行签名”相比,可提供更高级别的文档控制。对于需要证书的文档,您必须在其他人签名文档之前对其进行验证。如果文档已签名,“验证”选项将处于停用状态。在验证文档时,您可以控制其他人可以执行的更改类型。您可以通过显示或不显示签名来进行验证。

使用证书进行签名

当您使用证书签名时,签名将视为批准签名。

使用“验证”或“使用证书进行签名”选项生成的签名符合欧洲电信标准化协会 (ETSI) 指定的数据保护标准。此外,两种签名类型还都符合 PDF Advanced Electronic Signature (PAdES) 标准。Acrobat 和 Reader 提供用于将默认签名格式更改为 CAdES 格式的选项。该选项符合 PAdES 标准的第 3 部分。对长期验证签名的时间戳功能和本机支持(在 Acrobat 9.1 中有所介绍)符合 PAdES 标准的第 4 部分。在进行相应设置之后,默认签名格式符合 PAdES 标准的第 2 部分。您可以在“首选项”对话框的“签名”面板中更改默认签名方法或格式。在“创建和外观”下,单击“更多”。

设置基于证书的签名

您可以预先做好以下准备来加速签名过程并优化您的结果。

注意:

在某些情况下,需要使用特定的数字身份证来签名。例如,公司或政府机构可以要求个人仅使用该机构颁发的数字身份证签署官方文档。了解组织的数字签名政策,以确定数字身份证的适当来源。

  • 从您自己的组织获取数字身份证、购买数字身份证(访问 Adobe 网站,以查看安全性合作伙伴)或创建自签名数字身份证。请参阅创建自签名数字身份证。您无法在没有数字身份证的情况下,应用基于证书的签名。

  • 设置默认签名方法。
  • 使用预览文档模式禁止所有动态内容,这些动态内容可能会改变文档的外观,甚至会误导您签署不适宜的文档。有关使用预览文档模式的信息,请参阅用预览文档模式签名
  • 在您签名之前审阅所有文档中的页面。文档可以在多个页面上包含签名域。
  • 配置签名应用程序。作者和签名者都应当配置他们的应用程序环境。(请参阅设置签名首选项。)

有关企业设置中所有配置选项的详细信息,请参阅数字签名指南

  • 选择签名类型。了解审批签名和验证签名,以确定应选择用来签名文档的类型。(请参阅签名类型。)

设置签名首选项

签名工作流程首选项控制在签名对话框打开时,可以看到的内容和执行的操作。您可以允许特定的动作、隐藏和显示数据域以及更改内容对签名过程的影响方式。设置签名首选项会影响您是否可以查看正在签名的对象。有关可用的签名首选项的信息,请参阅《数字签名指南》中的“签名工作流程首选项”,网址为:www.adobe.com/go/learn_acr_security_cn

使用种子值自定义签名工作流程

种子值通过使文档作者指定在签名者签名文档时可以进行哪些选择,来为这些文档作者提供附加控制。通过将种子值应用于未签名 PDF 中的签名域,作者可以自定义选项并使任务自动执行。他们也可以为证书和时间戳服务器等项目指定签名要求。有关使用种子值自定义签名的更多信息,请参阅《数字签名指南》(PDF),网址为:www.adobe.com/go/learn_acr_security_cn

为基于证书的签名创建外观

在“首选项”对话框的“签名”面板中选择相应选项,可以确定基于证书的签名外观。例如,可以包括您的手写签名图像、公司徽标或照片。您还可以创建不同的签名,以用于不同目的。对于某些情况,您可以提供更高级别的详细信息。

签名也可以包括帮助他人验证您的 签名 的信息,例如签名原因、联系信息等。

Acrobat 中的签名格式
签名格式

A. 文本签名 B. 图形签名 

  1. (可选)如果要在基于证书的签名中包含手写签名的图像,请扫描您的签名,然后另存为图像文件。将图像放进文档,并将文档转换为 PDF。

  2. 右键单击签名域,然后选择签名文档使用可见签名验证

    注意:

    您也可以使用“签名”首选项(“编辑”>“首选项”>“签名”(Windows) 或“Acrobat”>“首选项”>“签名”(Mac OS))创建外观。

  3. 从“签名”对话框的“外观”菜单中,选择创建新外观

  4. 在“配置签名外观”对话框中,为正在创建的签名键入名称。在签名时,请按照此名称选择签名。因此,请使用简短的描述性标题。
  5. 对于“配置图形”,选择一个选项:

    无图形

    仅显示默认图标和在“配置文本”部分中指定的其他信息。

    导入的图形

    显示基于证书的签名的图像。选择本选项来包括您手写签名的图像。要导入图像文件,依次单击“文件”,“浏览”,然后选择图像文件。

    姓名

    仅显示默认签名图标和您的数字身份证文件中显示的名称。

  6. 对于“配置文本”,选择您想要在签名中显示的选项。“辨别名”用来显示您的数字身份证中定义的用户属性,包括您的姓名、单位和国家/地区。

  7. 对于“文本属性”,指定使用的书写方向和数字类型,然后单击确定。另请参见启用从右至左语言

  8. (可选)如果对话框包含“附加签名信息”部分,指定签署文档的原因、位置和您的联系信息。仅当您在“创建和外观”首选项对话框(“编辑”>“首选项”>“签名”>“创建及外观”>“更多”)中将这些选项设为首选项时,这些选项才可用。

设置漫游身份证帐户

漫游身份证是一种在服务器上存储且订阅者可以访问的数字身份证。您必须可以连接因特网以及提供漫游数字身份证的单位帐户才可访问漫游身份证。

  1. 打开“首选项”对话框。
  2. 种类下,选择签名
  3. 对于身份与可信任证书,单击更多
  4. 展开左侧的数字身份证,选择漫游身份证帐户,然后单击添加帐户
  5. 键入漫游身份证服务器的名称和 URL,然后单击下一步
  6. 键入您的用户名和密码,或按照说明创建帐户。单击下一步,然后单击完成

添加漫游身份证后,即可将其用于签名或加密。执行要使用您的漫游身份证的任务时,如果您的验证声明没有过期,您会自动登录至漫游身份证服务器。

PKCS#12 模块和令牌设备

您可以有多个用于不同的目的数字身份证,例如,您需要用不同的角色或验证方法签名文档。数字身份证通常受密码保护。数字身份证可以采用 PKCS #12 文件格式存储在计算机上。数字身份证也可以存储在智能卡、硬件标记设备或 Windows 证书存储区中。漫游身份证可以存储在服务器上。Acrobat 包括默认的签名处理程序,可用于从各个位置访问数字身份证。您必须在 Acrobat 中注册数字身份证,才可进行使用。

在目录服务器上存储证书

目录服务器通常用于集中存储单位中的身份。该服务器是存储企业中使用证书加密的用户证书的理想位置。目录服务器可帮助您从网络服务器找到证书,包括轻型目录访问协议 (LDAP) 服务器。在找到证书后,您可以将其添加到可信任身份列表,从而不必再次查找本证书。通过建立可信任证书的存储区,您或者工作组成员可以方便的使用工作组定义的各种加密。

有关目录服务器的更多信息,请参阅《数字签名指南》(PDF),网址为:www.adobe.com/go/learn_acr_security_cn

导入目录服务器设置(仅限 Windows)

您可以使用安全性导入/导出方法或安全性设置文件导入目录服务器设置。使用导入/导出方法导入文件中的设置之前,请确保在打开文件之前信任文件提供商。

  1. 打开首选项对话框。
  2. 种类下,选择签名
  3. 文档时间戳中,单击更多
  4. 选择左侧的目录服务器,然后单击导入
  5. 选择导入/导出方法文件,然后单击打开
  6. 如果该文件已签名,请单击签名属性按钮,检查当前的签名状态。
  7. 单击导入搜索目录设置
  8. 如果出现提示,请单击“确定”确认您的选择。

    目录服务器会显示在安全性设置对话框中。

导出目录服务器设置(仅限 Windows)

虽然最好导出安全性设置,但是可以将目录设置导出为导入/导出方法文件。使用该文件在另一台计算机上配置目录服务器。

  1. 打开首选项对话框。
  2. 种类下,选择身份信息
  3. 输入您的姓名、组织和电子邮件地址来创建您的个人资料。
  4. 种类下,选择签名
  5. 文档时间戳中,单击更多
  6. 选择左侧的目录服务器,然后在右侧选择一个或多个服务器。
  7. 单击导出,选择目标位置,然后单击下一步
  8. 要证明文件来自您处,请单击签名,添加您的签名,然后单击下一步
  9. 执行以下任一操作:

    • 要保存文件,请指定文件名称和位置,然后单击保存

    • 如果要将文件作为电子邮件附件发送,请在“收件人”框中键入电子邮件地址,单击下一步,然后单击完成

    注意:

    另请参见导出安全性设置

向基于证书的签名中添加时间戳

可以添加文档的签名日期和时间作为基于证书的签名的一部分。时间戳很容易确认它们与可信任的时间戳颁发机构证书关联的时间。时间戳有助于确定签名文档的时间,并减少出现无效签名的可能性。您可以从第三方时间戳颁发机构或颁发您的数字身份证的证书颁发机构获得时间戳。

时间戳显示在签名属性对话框的签名域中。如果配置了时间戳服务器,时间戳将显示在签名属性对话框的“日期/时间”选项卡中。如果没有配置时间戳服务器,则签名域显示签名时计算机的本地时间。

注意:

如果签署文档时未嵌入时间戳,以后可在签名中加入时间戳。(请参阅建立长期签名验证。)使用时间戳服务器提供的时间为文档签名后,即会应用时间戳。

配置时间戳服务器

要配置时间戳服务器,您需要服务器名称和 URL(可以从管理员或安全性设置文件来获得)。

如果您有安全性设置文件,则安装它而不要使用以下用于配置服务器的说明。确保您从受信源获得安全性设置文件。在没有与系统管理员或 IT 部门确认的情况下,不要安装它。

  1. 打开首选项对话框。
  2. 种类下,选择签名
  3. 文档时间戳中,单击更多
  4. 在左侧选择时间戳服务器
  5. 执行以下任一操作:

    • 如果您有包含时间戳服务器设置的导入/导出方法文件,请单击导入按钮 。选择文件,然后单击打开

    • 如果您有时间戳服务器的 URL,请单击新建按钮 。键入名称,然后键入服务器 URL。指定服务器是否要求用户名和密码,然后单击确定

设定时间戳服务器为默认

要能够使用某时间戳服务器对签名添加时间戳,请将该时间戳服务器设置为默认服务器。

  1. 打开首选项对话框。
  2. 种类下,选择签名
  3. 文档时间戳中,单击更多
  4. 在左侧选择时间戳服务器
  5. 选择时间戳服务器,然后单击设为默认值按钮 
  6. 单击“确定”以确认您的选择。

Adobe LiveCycle Rights Management (ALCRM) 服务器

通过 Adobe LiveCycle Rights Management (ALCRM) 服务器,可以定义用于控制访问文档的集中式策略。这些策略存储在 ALCRM 服务器上。您需要具有服务器访问权限才可使用这些策略。

ALCRM 服务器在文档中嵌入用户访问信息。因此,请在 ALCRM 策略中指定文档收件人。或者,使 ALCRM 服务器从 LDAP 目录检索收件人列表。

使用 ALCRM 服务器可以为单独的文档任务(例如打开、编辑和打印)设置许可。您也可以在 ALCRM 服务器上定义文档审核策略。

更多此类内容

更快、更轻松地获得帮助

新用户?

快速链接

查看您的所有计划 管理您的计划
查看快速链接
隐藏快速链接

法律声明    |    在线隐私政策