Adobe Acrobat Sign 数字签名工作流程适用于所有级别的服务
功能说明
作为一种电子签名,数字签名使用基于证书的数字 ID,此 ID 可从基于云的信任服务提供商或签名者的本地系统获取。
与传统的手写签名一样,数字签名可以识别签署文档的人员。与手写签名不同,基于证书的签名难以伪造,因为它包含签名者独有的加密信息。数字签名易于验证,并且在签名者最初签署文档后,可以通知接收者文档是否已经修改。
只需将数字签名字段放置在表单上(可通过文本标记、在 Acrobat Sign 编辑环境中进行拖放,或使用 Acroform 在 Adobe Acrobat 中进行编辑),即可在 Adobe Acrobat Sign 中使用数字签名。
时间戳
对于美国和欧盟而言,时间戳是应用数字签名时必须遵守的一项签名合规标准。
时间戳可用作签名者身份和文档本身的一种锁定机制。 签名者身份可以通过多种方式(证书、登录信息、身份证...)来确立,但时间戳必须由已获得授权的、受信任的时间戳颁发机构 (TSA) 提供。
时间戳能够锁定签名和文档,从而保证已签名协议的长期有效性 (LTV)。 这实际上是在签名这种锁定机制上又提供了一种锁定保障。 这对数字签名的合规性至关重要,因为个人签名证书可能会过期,但时间戳 LTV 可以不断续订从而保持签名的有效性。 具有 LTV 的时间戳可以确保证书在使用有效期内的有效性,还可以在签名者实际证书的使用期限到期之后延长已签名协议的有效期。
时间戳证据使用 ISO 8601 表示法显示在数字签名外观中
。
符合欧盟 e-IDAS 规定的合格时间戳
位于欧洲的 Acrobat Sign EU1 实例上的所有帐户在默认情况下都使用符合 e-IDAS 相关规定的合格时间戳。(了解您所在地区的实例)
使用方式
对于发送者
从发送者的角度来看,所有必须执行的操作就是将数字签名字段放置在准备发送的文档上。
对于文档/模板创建者
每位接收者至多可以在协议中分配到一个数字签名字段。需要的任何其他签名字段可以是标准的电子签名字段类型。
请注意,一位签名者使用一个数字签名并不意味着任何其他签名者都必须使用数字签名。完全允许下面的情况出现:只有内部签名者应用数字签名,而外部签名者使用电子签名字段类型(或者,反之亦然)。
使用拖放编辑
模板创建者可在“编辑”环境的签名字段部分,找到数字签名字段。
您可以在下面看到左侧是电子签名字段,右侧是数字签名字段。
文本标记语法
数字签名字段的语法将使用参数:digitalsignature
例如:{{digsig1_es_:signer1:digitalsignature}}
如前所述,每位签名者在每个文档中只拥有一个数字签名字段。
如果您向某位签名者添加了多个数字签名(例如,{{digsig1_:signer1: digitalsignature}} 和 {{digsig2_:signer1: digitalsignature}}),那么在发送文档以进行签署时,将只保留第一个数字签名,且自动删除其他的数字签名。
在 Acrobat 中构建表单
与所有其他字段类型一样,您可以在 Acrobat 中构建文档时,通过下面的方法来复制“文本标记”功能:重命名该字段,以包含具备所有参数的完整文本标记(但不包括两端的大括号)。
签名者体验
数字签名是基于证书的,因此签名者需先获得数字 ID 才能应用签名。此数字 ID 可从一些云签名服务提供商中的某个服务商获取,也可从本地获取(在 Adobe Acrobat 或 Acrobat Reader 中使用本地数字 ID 来应用签名)。
根据 Acrobat Sign 的解决方案,签名者需要执行以下流程:
- 打开协议,然后填写所有必填的字段
- 从现有的数字 ID 中选择,或者创建一个新 ID
- 应用签名
应用签名后,按正常流程继续执行签名周期。
打开协议并填写字段…
签名者将通过电子邮件获得通知,并且在单击审阅并签名链接后,可获得打开相关协议的指导说明。
打开文档后,签名者可以读取文档并填写任何需要的字段。必须填写了所有的必填字段,签名者才能开始签名。
将鼠标悬停在数字签名字段上,将会出现一个气球状提示文本框,其中带有附加说明。
单击该字段后,会打开一个叠加对话框,要求签名者在以下两条路径中进行选择:
- 云签名(下面的说明是关于这条路径的)
- 下载并使用 Acrobat 签名(单击此处跳转以下载相关说明)
选择适当的选项,然后单击下一步。
此时会跳出一个新的叠加对话框,要求签名者从下拉列表中选择一个身份提供商:
- 只能使用下拉列表中列出的提供商
- 如果签名者没有经过授权的数字 ID,则可以单击单击以获取新的数字 ID 链接,进入相应网页并从网页上的其中一个云签名服务提供商获取新的数字 ID
- 拿到新的数字 ID 之后,便可返回到签名流程
身份提供商要求签名者在使用服务之前进行身份认证。
身份认证成功之后,窗口中会显示一个有效数字 ID 的列表,以供签名者选择。
- 选择数字 ID
- 单击下一步
此时会显示签名预览。
- 单击编辑签名,以执行以下操作:
- 通过鼠标或触摸板手动签名
- 上传签名图像
- 准备好进行下一步后,单击确定
此时,签名者将回到协议并收到提示,要求其单击以签名。
之后,身份提供商可能会要求再进行一次身份认证,即双重因素身份验证。
例如:下面的提供商要求签名者提供一个在设置数字 ID 时建立的静态 PIN,以及一个一次性密码。
- 输入所有必填值,然后单击确定
当成功输入双重因素身份验证信息后,文档完成签名,此时系统会显示一条签名成功的消息。
通过“下载并使用 Acrobat 签名”选项应用的数字签名必须使用 Adobe Acrobat 或者 Adobe Acrobat Reader XI v11.0.7 或更高版本。
在选择下载并使用 Acrobat 签名之后,会出现提示信息,介绍相关流程。
- 单击确定
填写所有必填字段之后,窗口底部会弹出继续签名的蓝色按钮。
- 单击继续签名
下载 PDF 并在 Acrobat 或 Adobe Reader 中打开 PDF
单击继续签名按钮以启动下载页面。
如果您未安装 Acrobat 或 Adobe Reader,则需要下载并安装。页面底部有一个 Adobe Reader 的链接(> 在这里),可免费使用 PDF 查看器。
单击下载文档按钮,然后 Acrobat(或 Reader,具体取决于您安装的应用程序)将会打开 PDF。
位于 Reader 窗口的顶部是一个蓝色横幅,指示需要提供数字签名。
黄色的选项卡表示可在此处单击并放置签名。
创建新的数字 ID
在单击按钮创建新的数字 ID 之后,您会看到配置面板。在配置面板上,您会发现三个选项:
- 使用签名创建设备 - 当您具有与本地系统相连的物理设备时使用
- 使用文件中的数字 ID - 从联网文件导入现有数字 ID 时使用
- 创建新的数字 ID - 当不存在可以访问的现有数字 ID 时使用
选择创建新的数字 ID,然后单击继续。
此时,面板会发生变化,询问您要存储数字 ID 的位置:
- 存储到文件 - 使用此选项可将数字 ID 存储在本地系统,从而使之适用于基于 Adobe 的签名
- 存储到 Windows 认证商店 - 使用此选项可将数字 ID 存储到 Windows 认证商店,从而使之适用于除 Adobe Reader/Acrobat 之外的应用程序
选择保存到文件,然后单击继续。
此时,面板会刷新以显示数字 ID 的详细信息。
确保正确填写所有字段,然后单击继续。
下一个面板要求您提供数字 ID 的密码。
每次尝试应用数字签名时,您都需要输入此密码。
输入密码之后,单击保存即可完成数字 ID 的创建流程。
之后,您会返回到显示了所有数字 ID 的第一个面板。
选择要使用的数字 ID,然后单击继续按钮。
应用签名
单击继续后,面板将会刷新,以显示签名对象的可视化形式。
您既可以使用该对象原来的外观,也可以进一步自定义其外观。
要自定义该对象的外观,请单击面板右上方的编辑按钮,以加载自定义面板。
请注意,在自定义面板的顶部,存在与应用程序中相同的签名选项。您可以选择使用绘制的签名或图像来替换默认字体。
您可以根据需要进行编辑,然后单击保存以保存新格式。
此时,您将回到上一个屏幕,要求您提供数字 ID 密码。
在提示输入数字 ID PIN 或密码的字段键入所选数字 ID 的密码,然后单击签名。
此时,数字 ID 面板会消失,PDF 会更新,并且 PDF 顶部会显示一个新的蓝色横幅,表示签名有效。另外,还会显示一个小的弹出窗口,确认数字签名成功。
单击确定并关闭 PDF,至此,这位接收者的签名过程已完成!
在下面的示例中,左侧是正常的电子签名字段,右侧是数字签名。
历史记录和审计报告
比起标准的电子签名报告,历史记录选项卡和相关的审计报告会略微与之存在一些差异,这是因为它们还拥有一个额外事件:已对文档进行数字签名。
在下面的示例中,您可以看到首位签名者拥有一个“已进行电子签名”的事件,仅此而已。
第二位签名者既拥有已进行电子签名事件,又拥有已进行数字签名事件。
其原因在于数字签名过程分为两部分。一部分是您在 Web 浏览器中执行的过程(填写字段),另一部分是您在本地桌面上执行的过程(应用数字签名证书)。
当签名者完成字段部分并单击提交并继续进行签名按钮后,将上载输入内容,并生成 PDF。这就是已进行电子签名事件涵盖的内容。
应用数字签名之后,已进行数字签名的事件将会发布。
与历史记录信息一致,您可以看到审计报告也反映了签名过程的两个阶段。
配置方式
Acrobat Sign 帐户管理员可以在“帐户”级别启用数字签名工作流程。
- 允许群组级别的设置,并且该设置将会覆盖帐户级别的值
要访问帐户级别的设置,请导航至:帐户 > 帐户设置 > 数字签名。
可以配置以下几个选项来管理签名体验:
允许签名者从一个或多个来源导入其数字签名:
- 下载并使用 Acrobat 签名 - 允许签名者使用自认证签名
- 云签名 - 启用此选项后,可以让签名者使用基于云的数字签名,从而实现在移动设备上进行数字签名
- 如果在签名过程中,数字签名至关重要,则强烈建议启用基于云的选项
选择您将接受的数字签名提供商。 只有选中的选项才会提供给签名者。
您可以定义一个首选提供商,系统会将其设置为默认提供商。
- 如果仅允许选择一个提供商,则会在签名过程中绕过选择流程
Aadhaar 签名
Aadhaar 签名可用于企业帐户,但需额外为每个签名付费,并且必须在使用前进行配置。
需要获取 Aadhaar 签名的客户可以联系其成功经理或销售联系人,以商讨所需的签名数量并启动配置流程。
外部签名者是指不在您的 Acrobat Sign 帐户内定义的任何电子邮件地址。
- 内部签名者是指在您的 Acrobat Sign 帐户内定义的所有用户
如果您想要为外部签名者和内部签名者创建不同的签名体验,则可以针对上述选项,启用仅适用于外部签名者的第二组选项。
例如,您可能想让外部签名者在签名提供商方面更加自由,或者为内部签名者提供有关如何获取签名的不同说明。
显示签名原因
某些合规性规范要求签名者注明应用数字签名的原因。例如:21 CFR 第 11 部分和 SAFE-Biopharma 的相关规范。
如果要使用数字签名来满足合规性要求,请咨询您的法律团队,以确定您在签名过程中是否还需要提供签名原因。
要访问控制选项,请单击生物识别设置链接
受限的云签名提供商
有些提供商会限制对其服务的访问,仅允许预批准的客户访问其服务。这意味着只有在提供商批准帐户使用其服务后,该帐户才能访问其服务。
BankID Sweden 就是这样的一种商业服务。公司特定的提供商也仅限于授权帐户使用。
在激活过程中,这些提供商会要求订阅帐户提供“帐户 ID”以便为其配置服务。获得提供商的授权后,您的用户便可以使用受限的服务了。在此之前,当用户尝试使用受限的服务时,他们通常会看到提供商发出的错误消息。
帐户 ID 真正属于帐户级别的属性。帐户中的所有组共享同一个帐户 ID,因此在向帐户授权受限的服务时,就相当于授权该帐户中的所有组使用该服务。
数字签名格式选项
PKCS#7 是用于规范大多数(非欧盟)Acrobat Sign 帐户的默认格式。
在欧洲 (EU1),默认情况下将使用符合 eIDAS 规范的 PAdES 格式 (ETSI EN 319142)。
任何帐户级别的管理员都可以通过向 Acrobat Sign 技术支持团队发送请求,将此设置从一种格式更改为另一种格式。
可以在组或帐户级别启用和配置此项功能。
RSA-PSS
RSA-PSS 是基于 RSA 密码系统的签名方案,与较旧的 RSA-PKCS#1 v.1.5 相比,RSA-PSS 可提供更高的安全保障。
在 Acrobat Sign 中实施 RSA-PSS 后,并不需要帐户管理员进行任何相关配置。
- 当选择“云签名”时,签名者的数字 ID 会同时支持 RSA-PSS 和 RSA-PKCS#1,默认情况下使用 RSA-PSS 签名方案
- 当选择“使用 Acrobat 签名”时,会根据 Acrobat 应用程序中签名者的设置,相应使用 RSS-PSS 或 RSA-PKCS#1
- Acrobat Sign 完全支持使用 RSA-PSS 方案签名的 CRL 和 OCSP 响应
- 使用 RSA-PSS 方案时必须遵循特定于德国的合格电子签名要求
需要了解的事项
数字签名工作流程强制协议执行独特的过程。由于必须经过特殊处理才能附加签名,所以请注意以下几项限制。
- 只能向每位签名者分配一个数字签名字段
- Web 表单不支持数字签名
- “批量发送”不支持“下载并使用 Acrobat 签名”中涉及的签名。基于云的数字签名则会按预期方式工作
- 数字签名禁用“有限文件可见性”。每位接收者将可以看到所有页面
- 签名者在移动设备上只能应用一个基于云的数字签名
- “填写并签署”功能不支持使用 OAuth 授权模式的基于云的数字身份证
- “填写并签署”功能不支持将签名用于 Aadhaar 服务提供商
- 共享内容的用户或启用高级共享的帐户无法使用数字签名
- eVaulting 无法与数字签名结合使用
- 文件附件只能由第一个签名者使用。如果之后的签名者附加了新文件,则之前所有的数字签名均会失效
- 事务号字段会将数字签名转换为电子签名
- 当前不支持保持文件分开可选设置(当使用多个文件创建协议时)。文档只能作为单个的完整文件返回
登录到您的帐户