前往安全设置 > Webhook mTLS 证书管理
上次更新日期:
2026年5月8日
警告:
本文包含预发布信息。发布日期、功能和其他信息如有修改,恕不另行通知。
使用相互 TLS 和灵活的私钥管理确保 Webhook 传递安全。
Webhook mTLS(相互 TLS)确保 Adobe Acrobat Sign 和您的端点在 TLS 握手期间彼此验证。 管理员可以选择上传自己的私钥和证书,或让 Acrobat Sign 生成并存储私钥。 这种灵活性降低了处理私钥的要求,同时保持与现有 Webhook 行为的兼容性。
此功能适用于 Acrobat Sign Solutions 和 Acrobat Sign for Government 帐户。
可以在帐户级别和组级别配置证书。
- 组级别设置会覆盖帐户级别设置。
Webhook mTLS 的工作原理
Webhook mTLS 使用客户端证书和私钥在连接期间向您的 webhook 端点验证 Acrobat Sign 的身份。
- Acrobat Sign 在 TLS 握手期间提供证书。
- 您的端点在接受连接之前验证证书。
- Webhook 负载、事件和传递行为保持不变。
选择密钥管理方法
您必须选择私钥的创建和管理方式。
上传您自己的私钥和证书
- 在外部生成私钥和证书。
- 以 PKCS#12 文件(.p12 或 .pfx)格式上传。
- 您保持对密钥生成和生命周期的完全控制。
如果您的组织需要外部密钥管理,请使用此方法。
让 Acrobat Sign 生成私钥
- Acrobat Sign 生成私钥和证书签名请求 (CSR)。
- 私钥永远不会离开 Adobe 基础架构。
- 将 CSR 提交给您的证书颁发机构。
- 上传已签名的证书(PEM 格式)。
使用此方法可减少私钥暴露并简化密钥处理。
主要区别
| 功能 | 上传您自己的密钥 | Acrobat Sign 生成密钥 |
|---|---|---|
| 私钥位置: | 客户管理并存储在 Acrobat Sign 中 | 仅在 Acrobat Sign 内生成和存储 |
| 证书格式 | PKCS#12 (.p12 / .pfx) | PEM (.pem / .crt / .cer) |
| 工作流程 | 将密钥和证书一起上传 | 生成 CSR,然后上传已签名的证书 |
| 密钥暴露 | 密钥在上传前在外部处理 | 密钥从不离开 Adobe 基础架构 |
| 安全态势 | 标准 | 更强 |
何时使用每种方法:
- 如果您的组织需要外部密钥控制,请使用上传方法。
- 当您希望最大限度地减少私钥处理并提高安全性时,请使用 Acrobat Sign 生成的方法。
配置 webhook mTLS
选择密钥管理方法
-
-
选择您首选的密钥管理方法:
- 上传客户端证书
- 生成 CSR
-
保存配置。
如果您选择上传自己的证书:
-
为该证书提供一个密码。
-
上传证书 (.p12 或 .pfx)。
必须包含以下两项:- 私钥
- 证书
-
保存配置。
保存后,证书立即对 webhook 传递生效。
如果您选择让 Acrobat Sign 生成私钥:
-
输入证书详细信息:
- 证书名称(必填)
- 单位
- 部门
- 位置
- 州/省/直辖市/自治区
- 国家/地区(两个字母的 ISO 代码)
- 电子邮件(电子邮件格式)
- SAN-DNS 名称(可选,每行输入一个)
- SAN - 电子邮件值(可选,电子邮件格式,每行输入一个)
-
选择生成 CSR。
-
复制生成的 CSR。
-
将 CSR 提交给您的证书颁发机构并获取已签名的证书。
-
保存配置。
只有在选择保存后才会保存 CSR。 如果您离开页面,CSR 将丢失。
证书要求
PKCS#12(上传方法)
- 格式:.p12 或 .pfx
- 必须包含私钥和证书
- 需要密码
CSR(Acrobat Sign 生成的方法)
- 格式:PEM(.pem、.crt、.cer)
- 必须包含 clientAuth 用法
- 必须与生成的 CSR 匹配
- 必须在其有效期内
- 如有必要,请包含中间证书
需要了解的事项
- 如果证书过期,webhook 传递将失败,直到上传有效证书。
- Acrobat Sign 会根据 webhook 重试策略继续重试。
- 在密钥管理方法之间切换不会删除现有证书。
- 证书签名请求和私钥仅在选择保存后才会保存。 离开页面会丢弃它们。
- 支持组级别配置。
- 当证书主题详细信息更改或您想要轮换私钥时,需要新的证书签名请求。
