使用数字签名

作为一种电子签名，数字签名使用基于证书的数字 ID，此 ID 可从基于云的信任服务提供商或签名者的本地系统获取。

与传统的手写签名一样，数字签名可以识别签署文档的人员。与手写签名不同，基于证书的签名难以伪造，因为它包含签名者独有的加密信息。数字签名易于验证，并且在签名者最初签署文档后，可以通知接收者文档是否已经修改。

只需将数字签名字段放置在表单上（可通过文本标记、在 Adobe Sign 编辑环境中进行拖放，或使用 Acroform 在 Adobe Acrobat 中进行编辑），即可在 Adobe Sign 中使用数字签名。

对于美国和欧盟而言，时间戳是应用数字签名时必须遵守的一项签名合规标准。

时间戳可用作签名者身份和文档本身的一种锁定机制。签名者身份可以通过多种方式（证书、登录信息、身份证...）来确立，但时间戳必须由已获得授权的、受信任的时间戳颁发机构 (TSA) 提供。

时间戳能够锁定签名和文档，从而保证已签名协议的长期有效性 (LTV)。这实际上是在签名这种锁定机制上又提供了一种锁定保障。这对数字签名的合规性至关重要，因为个人签名证书可能会过期，但时间戳 LTV 可以不断续订从而保持签名的有效性。具有 LTV 的时间戳可以确保证书在使用有效期内的有效性，还可以在签名者实际证书的使用期限到期之后延长已签名协议的有效期。

位于欧洲的 Adobe Sign EU1 实例上的所有账户在默认情况下都使用符合 e-IDAS 相关规定的合格时间戳。（了解您所在地区的实例）

从发送者的角度来看，所有必须执行的操作就是将数字签名字段放置在准备发送的文档上。

每位接收者至多可以在协议中分配到一个数字签名字段。需要的任何其他签名字段可以是标准的电子签名字段类型。

请注意，一位签名者使用一个数字签名并不意味着任何其他签名者都必须使用数字签名。完全允许下面的情况出现：只有内部签名者应用数字签名，而外部签名者使用电子签名字段类型（或者，反之亦然）。

模板创建者可在“编辑”环境的签名字段部分，找到数字签名字段。

您可以在下面看到左侧是电子签名字段，右侧是数字签名字段。

数字签名字段的语法将使用参数：digitalsignature

例如：{{digsig1_es_:signer1:digitalsignature}}

与所有其他字段类型一样，您可以在 Acrobat 中构建文档时，通过下面的方法来复制“文本标记”功能：重命名该字段，以包含具备所有参数的完整文本标记（但不包括两端的大括号）。

数字签名是基于证书的，因此签名者需先获得数字 ID 才能应用签名。此数字 ID 可从一些云签名服务提供商中的某个服务商获取，也可从本地获取（在 Adobe Acrobat 或 Acrobat Reader 中使用本地数字 ID 来应用签名）。

根据 Adobe Sign 的解决方案，签名者需要执行以下流程：

• 打开协议，然后填写所有必填的字段
• 从现有的数字 ID 中选择，或者创建一个新 ID。
  
• 应用签名

应用签名后，按正常流程继续执行签名周期。

签名者将通过电子邮件获得通知，并且在单击单击此处查看并签署链接后，可获得打开相关协议的指导说明

打开文档后，签名者可以读取文档并填写任何需要的字段。必须填写了所有的必填字段，签名者才能开始签名。

将鼠标悬停在数字签名字段上，将会出现一个气球状提示文本框，其中带有附加说明。

单击该字段后，会打开一个叠加对话框，要求签名者在以下两条路径中进行选择：

• 云签名（下面的说明是关于这条路径的）
• 下载并使用 Acrobat 签名（单击此处跳转以下载相关说明）

选择适当的选项，然后单击下一步

此时会跳出一个新的叠加对话框，要求签名者从下拉列表中选择一个身份提供商：

• 只能使用下拉列表中列出的提供商：
• 如果签名者没有经过授权的数字 ID，则可以单击单击以获取新的数字 ID 链接，进入相应网页并从网页上的其中一个云签名服务提供商获取新的数字 ID。
• 拿到新的数字 ID 之后，便可返回到签名流程。

身份提供商要求签名者在使用服务之前进行身份认证。

身份认证成功之后，窗口中会显示一个有效数字 ID 的列表，以供签名者选择。

• 选择数字 ID
• 单击下一步

此时会显示签名预览。

• 单击编辑签名，以执行以下操作：
  • 通过鼠标或触摸板手动签名
  • 上传签名图像
• 准备好进行下一步后，单击确定

此时，签名者将回到协议并收到提示，要求其单击以签名

之后，身份提供商可能会要求再进行一次身份认证，即第二重身份认证。

例如：下面的提供商要求签名者提供一个在设置数字 ID 时建立的静态 PIN，以及一个一次性密码。

• 输入所有必填值，然后单击确定

当成功输入第二重身份认证信息后，文档完成签名，此时系统会显示一条签名成功的消息。

印度 (IN1) 数据中心的客户在默认情况下会配置符合 Aadhaar 规范的签名。

现在，印度数据中心的 Adobe Sign 帐户完全按照印度对在线数据管理的严格要求在印度境内管理数据。

比起标准的电子签名报告，历史记录选项卡和相关的审计报告会略微与之存在一些差异，这是因为它们还拥有一个额外事件：已对文档进行数字签名

在下面的示例中，您可以看到首位签名者拥有一个“已进行电子签名”的事件，仅此而已。

第二位签名者既拥有已进行电子签名事件，又拥有已进行数字签名事件。

其原因在于数字签名过程分为两部分。一部分是您在 Web 浏览器中执行的过程（填写字段），另一部分是您在本地桌面上执行的过程（应用数字签名证书）。

当签名者完成字段部分并单击提交并继续进行签名按钮后，将上载输入内容，并生成 PDF。这就是已进行电子签名事件涵盖的内容。

应用数字签名之后，已进行数字签名的事件将会发布。

与历史记录信息一致，您可以看到审计报告也反映了签名过程的两个阶段。

Adobe Sign 帐户管理员可以在“帐户”级别启用数字签名工作流程。

• 允许“组”级别的设置，并且该设置将会覆盖“帐户”级别的值。

要访问帐户级别的设置，请导航至：帐户 > 帐户设置 > 数字签名

可以配置以下几个选项来管理签名体验：

某些合规性规范要求签名者注明应用数字签名的原因。例如：21 CFR 第 11 部分和 SAFE-Biopharma 的相关规范。

如果要使用数字签名来满足合规性要求，请咨询您的法律团队，以确定您在签名过程中是否还需要提供签名原因。

要访问控制选项，请单击生物识别设置链接

如果您需要高级签名控件，请参阅 BioPharma 页面 >

有些提供商会限制对其服务的访问，仅允许预批准的客户访问其服务。这意味着只有在提供商批准帐户使用其服务后，该帐户才能访问其服务。

BankID Sweden 就是这样的一种商业服务。公司特定的提供商也仅限于授权帐户使用。

在激活过程中，这些提供商会要求订阅帐户提供“帐户 ID”以便为其配置服务。获得提供商的授权后，您的用户便可以使用受限的服务了。在此之前，当用户尝试使用受限的服务时，他们通常会看到提供商发出的错误消息。

PKCS#7 是用于规范大多数（非欧盟）Adobe Sign 帐户的默认格式。

在欧洲 (EU1)，默认情况下将使用符合 eIDAS 规范的 PAdES 格式 (ETSI EN 319142)。

任何帐户级别的管理员都可以通过向 Adobe Sign 技术支持团队发送请求，将此设置从一种格式更改为另一种格式。

可以在组或帐户级别启用和配置此项功能。

RSA-PSS 是基于 RSA 密码系统的签名方案，与较旧的 RSA-PKCS#1 v.1.5 相比，RSA-PSS 可提供更高的安全保障。 

在 Adobe Sign 中实施 RSA-PSS 后，并不需要帐户管理员进行任何相关配置。

• 当选择“云签名”时，签名者的数字 ID 会同时支持 RSA-PSS 和 RSA-PKCS#1，默认情况下使用 RSA-PSS 签名方案。
• 当选择“使用 Acrobat 签名”时，会根据 Acrobat 应用程序中签名者的设置，相应使用 RSS-PSS 或 RSA-PKCS#1
• Adobe Sign 完全支持使用 RSA-PSS 方案签名的 CRL 和 OCSP 响应。
• 使用 RSA-PSS 方案时必须遵循特定于德国的合格电子签名要求。

数字签名工作流程强制协议执行独特的过程。由于必须经过特殊处理才能附加签名，所以请注意以下几项限制。

• 只能向每位签名者分配一个数字签名字段
• Web 表单不支持数字签名
• Mega Sign 不支持下载并使用 Acrobat 签名中涉及的签名。基于云的数字签名则会按预期方式工作。
• 数字签名禁用“有限文件可见性”。每位接收者将可以看到所有页面。
• 无法通过任何方式委托数字签名：接收者角色、签名者委托或替换签名者
• 签名者在移动设备上只能应用一个基于云的数字签名。
• “填写并签署”功能不支持使用 OAuth 授权模式的基于云的数字身份证
• 共享内容的用户或启用高级共享的帐户无法使用数字签名
• 电子保管 (eVaulting)无法与数字签名结合使用
• 文件附件只能由第一个签名者使用。如果之后的签名者附加了新文件，则之前所有的数字签名均会失效。
• 事务号字段会将数字签名转换为电子签名