- 问题:使用不受信任的 CA 还是自签名证书
修复:对于 Webhook 回调服务器,使用公共 CA 颁发的 SSL 证书。
上次更新日期:
2023年11月15日
新增功能
快速入门
管理
- Admin Console 概述
- 用户管理
- 帐户/组设置
- 设置概述
- 全局设置
- 帐户级别和 ID
- 全新的收件人体验
- 自签名工作流
- 批量发送
- Web 表单
- 自定义发送工作流程
- Power Automate 工作流程
- 库文档
- 收集包含协议的表单数据
- 有限文件可见性
- 附加已签名协议的 PDF 副本
- 在电子邮件中包含链接
- 在电子邮件中包含图像
- 附加至电子邮件的文件将命名为
- 将审核报告附加到文档
- 将多个文档合并为一个
- 下载单个文档
- 上传签名文档
- 我的账户中的用户委托
- 允许外部收件人委派
- 授权签名
- 授权发送
- 授权添加电子密封
- 设置默认时区
- 设置默认日期格式
- 位于多个组的用户 (UMG)
- 组管理员权限
- 替换接收者
- 审核报告
- 事务页脚
- 在产品消息发送和指南中
- 可访问的 PDF
- 新版“编辑”体验
- 医疗保健客户
- 帐户设置
- 添加标志
- 自定义公司主机名/URL
- 添加公司名称
- 发布协议 URL 重定向
- 签名首选项
- 格式精美的签名
- 允许收件人签名的方式
- 签名者可以更改其姓名
- 允许接收者使用其保存的签名
- 自定义使用条款和消费者信息披露条款
- 在表单字段中导航收件人
- 重启协议工作流
- 拒绝签名
- 允许图章工作流
- 要求签名者提供其职务或公司
- 允许签名者打印并置入书面签名
- 进行电子签名时显示消息
- 需要签名者使用移动设备创建其签名
- 请求签名者的 IP 地址
- 从参与者图章中排除公司名称和职务
- 数字签名
- 电子签章
- 数字身份
- 报告设置
- 新版报告体验
- 经典报告设置
- 安全设置
- 发送设置
- 消息模板
- 生物识别设置
- 工作流程集成
- 公证设置
- 付款集成
- 签名者消息发送
- SAML 设置
- SAML 配置
- 安装 Microsoft Active Directory 联合身份验证服务
- 安装 Okta
- 安装 OneLogin
- 安装 Oracle Identity Federation
- SAML 配置
- 数据管理
- 时间戳设置
- 外部归档
- 账户语言
- 电子邮件设置
- 从 echosign.com 迁移到 adobesign.com
- 为收件人配置选项
- 监管要求指导
- 批量下载协议
- 申请您的域
- “举报滥用”链接
发送、签署和管理协议
- 收件人选项
- 发送协议
- 在文档中创作字段
- 应用程序内创作环境
- 使用文本标记创建表单
- 使用 Acrobat (AcroForms) 创建表单
- 字段
- 创作常见问题
- 签署协议
- 管理协议
- 审核报告
- 报告和数据导出
高级协议功能和工作流程
- Web 表单
- 可重复使用的模板(库模板)
- 转让 Web 表单和库模板的所有权
- Power Automate 工作流程
- Power Automate 集成和包含的权限概述
- 启用 Power Automate 集成
- “管理”页面上的上下文操作
- 跟踪 Power Automate 使用情况
- 创建新的工作流(示例)
- 用于工作流的触发器
- 从 Acrobat Sign 外部导入工作流
- 管理工作流
- 编辑工作流
- 共享工作流
- 禁用或启用工作流
- 删除工作流
- 实用模板
- 仅限管理员
- 协议存档
- Web 表单协议存档
- 将已完成的 Web 表单文档保存到 SharePoint 库
- 将已完成的 Web 表单文档保存到 OneDrive for Business
- 将已完成的文档保存到 Google Drive
- 将已完成的 Web 表单文档保存到 Box
- 协议数据提取
- 协议通知
- 发送包含协议内容和已签名协议的自定义电子邮件通知
- 在 Teams 渠道中获取 Adobe Acrobat Sign 通知
- 在 Slack 中获取 Adobe Acrobat Sign 通知
- 在 Webex 中获取 Adobe Acrobat Sign 通知
- 协议生成
- 通过 Power Apps 表单和 Word 模板生成文档,并发送以供签名
- 从 OneDrive 中的 Word 模板生成协议并获取签名
- 为所选 Excel 行生成协议,发送以供审阅和签名
- 自定义发送工作流程
- 共享用户和协议
与其他产品集成
- Acrobat Sign 集成概述
- Acrobat Sign for Salesforce
- Acrobat Sign for Microsoft
- 其他集成
- 合作伙伴管理的集成
- 如何获取集成密钥
Acrobat Sign 开发人员
- REST API
- Webhook
支持和故障排除
双重 SSL 身份验证
双重 SSL(通常称为客户端 SSL 或相互 TLS)是一种 SSL 模式,其中服务器和客户端(Web 浏览器)出示证书,以识别自身身份。
帐户管理员可以在安全性设置页面上配置客户端证书。
Acrobat Sign 在向 Webhook URL 传递负载时验证 SSL 证书。SSL 证书验证失败的 Webhook 无法成功传递 JSON 负载。
使用双重 SSL 以对客户端 (Acrobat Sign) 进行身份验证,并侦听服务,以确保仅 Acrobat Sign 可访问 Webhook URL。
如果 Webhook 是由合作伙伴应用程序创建的,则在发送 Webhook 通知时,Webhook 将使用来自合作伙伴应用程序帐户的客户端证书(如果可用)来识别自身身份。
以下是 Web 服务器验证过程和客户端认证验证的最常见问题。
Web 服务器验证
注册 Webhook 期间,Acrobat Sign 会验证 Webhook 服务器 URL。
如果无法从 Acrobat Sign 完成与 Webhook 回调 URL 的连接,则客户将无法注册 Webhook。
否。
Webhook 回调 URL 只能是端口 443 或 8443 上的 HTTPS。
Acrobat Sign 阻止 HTTPS 出站流量到达所有其他端口。
- 问题:服务器未发送中间证书
修复:在 Webhook 回调服务器上安装中间证书。
请参阅 https://www.digicert.com/kb/ssl-certificate-installation.htm 以获取详细信息。
客户端证书验证
为了给 Webhook 设置双向 SSL,我们需要管理员上传包含私钥的 .p12(或 .pfx)文件。该文件安全地存储在客户帐户中,管理员可以随时将其删除。
在双向 Webhook 设置中,Acrobat Sign 是调用方/客户端,需要使用私钥来证明调用是由 Acrobat Sign 代表客户帐户进行的。
-
客户端凭据可以是自签名证书,也可以是 CA 颁发的证书。但是,它必须至少符合以下 X.509 v3 扩展:
X.509 v3 扩展
Value
ExtendedKeyUsage
clientAuth (OID: 1.3.6.1.5.5.7.3.2)
KeyUsage
digitalSignature
客户端证书必须是扩展名为 .p12 或 .pfx 的 PKCS12 文件,并且必须包括客户端证书(以便服务器可以验证客户端的身份)和客户端的私钥(以便客户端可以对消息进行数字签名,从而使服务器在 SSL 握手期间进行验证)。
使用 openssl 命令验证 p12 (pfx) 文件:
openssl pkcs12 -info -in outfile.p12
应该请求私钥的密码。输出应同时包含证书和加密私钥,例如:
包属性 localKeyID: 9D BD 22 80 E7 B2 B7 58 9E AE C8 42 71 F0 39 E1 E7 2B 57 DB subject=/C=US/ST=California/L=San Jose/O=Adobe Inc./CN=sp.adobesignpreview.com issuer=/C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1 -----BEGIN CERTIFICATE----- MIIGwDCCBaigAwIBAgIQAhJSKDdyQZjlbYO5MJAYOTANBgkqhkiG9w0BAQsFADBP MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMSkwJwYDVQQDEyBE ... JAKQLQ== -----END CERTIFICATE----- 包属性:<No Attributes> subject=/C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1 issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA -----BEGIN CERTIFICATE----- MIIEvjCCA6agAwIBAgIQBtjZBNVYQ0b2ii+nVCJ+xDANBgkqhkiG9w0BAQsFADBh MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3 ... -----END CERTIFICATE----- 包属性 localKeyID: 9D BD 22 80 E7 B2 B7 58 9E AE C8 42 71 F0 39 E1 E7 2B 57 DB 关键属性:<No Attributes> -----BEGIN ENCRYPTED PRIVATE KEY----- MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQI7eNh2qlsLPkCAggA ... FHE= -----END ENCRYPTED PRIVATE KEY-----证书中应至少包含最终实体证书和中间证书。理想情况下,它还将包含根 CA 证书。
警告:确保 .p12 或 .pfx 文件受密码保护。
-
创建自签名客户端证书(可选)
客户端证书可以是 CA 颁发的,也可以是自签名的,具体根据您的需要。
要生成自签名客户端证书,请使用以下 openssl 命令:
openssl req -newkey rsa:4096 -keyform PEM -keyout ca.key -x509 -days 3650 -outform PEM -out ca.cer
注意:对生成的文件加密,因为它们是您的自签名 CA 证书。
接下来,生成客户端 .p12 文件:
- 为 SSL 客户端生成私钥:
openssl genrsa -out client.key 2048
- 使用客户端的私钥生成证书请求:
openssl req -new -key client.key -out client.req
- 使用证书请求和 CA 证书/私钥颁发客户端证书:
openssl x509 -req -in client.req -CA ca.cer -CAkey ca.key -set_serial 101 -extensions client -days 365 -outform PEM -out client.cer
- 将客户端证书和私钥转化为 pkcs#12 格式以供浏览器使用:
openssl pkcs12 -export -inkey client.key -in client.cer -out client.p12
- 删除客户端私钥、客户端证书和客户端请求文件,因为 pkcs12 为您提供所需的一切。
rm client.key client.cer client.req
- 为 SSL 客户端生成私钥:
-
为何 Acrobat Sign 会拒绝我的 PFX 文件,即使我已经通过 Postman 验证了该文件?
如果您已按照上述流程验证 pfx 文件,但 Acrobat Sign 仍拒绝该 pfx 文件,则该文件可能是由可生成非标准 PKCS12 文件的 Microsoft 工具生成的。
在这种情况下,请使用以下 openssl 命令从 pfx 文件中提取证书和私钥,然后生成格式正确的 PKCS12 文件:
// 从 pfx 文件提取证书和私钥 openssl pkcs12 -info -in microsoftclientssl.pfx -passin pass:"" -out clientcert.crt -nokeys openssl pkcs12 -info -in microsoftclientssl.pfx -passin pass:"" -out clientcert.key -nodes -nocerts // 新建 PKCS12 文件 openssl pkcs12 -export -inkey clientcert.key -in clientcert.crt -out clientcert.pfx
