- 問題:使用不受信任的 CA 或自我簽署憑證
修正:針對 Webhook 回呼伺服器使用公開 CA 所核發的 SSL 憑證。
上次更新時間
2023年11月15日
新功能
開始使用
管理
- Admin Console 概觀
- 使用者管理
- 新增使用者
- 建立以功能為導向的使用者
- 檢查有佈建錯誤的使用者
- 變更姓名/電子郵件地址
- 編輯使用者的群組成員資格
- 透過群組介面編輯使用者的群組成員資格
- 將使用者升級為管理員角色
- 使用者身分類型與 SSO
- 切換使用者身分
- 使用 MS Azure 驗證使用者
- 使用 Google Federation 驗證使用者
- 產品設定檔
- 登入體驗
- 帳戶/群組設定
- 設定概觀
- 全域設定
- 帳戶層級與 ID
- 新的收件者體驗
- 自我簽署工作流程
- 大量傳送
- 網頁表單
- 自訂傳送工作流程
- Power Automate 工作流程
- 資料庫文件
- 透過合約收集表單資料
- 限制文件可見性
- 附加已簽署合約的 PDF 副本
- 在電子郵件中加入連結
- 在電子郵件中加入影像
- 附加至電子郵件的檔案將命名為
- 將稽核報告附加至文件
- 將多個文件合併為一個
- 下載個別文件
- 上傳已簽署的文件
- 我的帳戶中的使用者委派
- 允許外部收件者委派
- 授權簽署
- 授權傳送
- 有權新增電子印章
- 設定預設時區
- 設定預設日期格式
- 使用者加入多個群組 (UMG)
- 群組管理員權限
- 更換收件者
- 稽核報告
- 交易頁尾
- 產品內傳送訊息和指示
- 無障礙 PDF
- 全新撰寫體驗
- 醫療保健客戶
- 帳戶設定
- 新增標誌
- 自訂公司主機名稱/URL
- 新增公司名稱
- 合約後 URL 重新導向
- 簽名偏好設定
- 格式固定的簽名
- 允許收件者簽署
- 簽署者可變更其姓名
- 允許收件者使用已儲存的簽名
- 自訂使用條款和消費者資訊披露
- 透過表單欄位導覽收件者
- 重新啟動合約工作流程
- 拒絕簽署
- 允許戳記工作流程
- 要求簽署者提供其職稱或公司
- 允許簽署者列印並置入書面簽名
- 在電子簽名時顯示訊息
- 需要簽署者使用行動裝置來建立自己的簽名
- 要求取得簽署者的 IP 位址
- 將公司名稱和職稱排除在參與戳記之外
- 數位簽名
- 電子印章
- 數位身分
- 報告設定
- 全新報告體驗
- 傳統報告設定
- 安全性設定
- 傳送設定
- 訊息範本
- 生技製藥設定
- 工作流程整合
- 公證設定
- 付款整合
- 簽署者傳訊
- SAML 設定
- SAML 設定
- 安裝 Microsoft Active Directory Federation Service
- 安裝 Okta
- 安裝 OneLogin
- 安裝 Oracle Identity Federation
- SAML 設定
- 資料控管
- 時間戳記設定
- 外部封存
- 帳戶語言
- 電子郵件設定
- 從 echosign.com 移轉至 adobesign.com
- 為收件者設定選項
- 法規要求指引
- 大量下載合約
- 宣告您的網域
- 「回報不當使用」連結
傳送、簽署與管理合約
- 收件者選項
- 傳送合約
- 在文件中撰寫欄位
- 簽署合約
- 管理合約
- 稽核報告
- 報告與資料匯出
進階合約功能與工作流程
- 網頁表單
- 可重複使用的範本 (資料庫範本)
- 轉移網頁表單與資料庫範本的所有權
- Power Automate 工作流程
- Power Automate 整合與包含授權的概觀
- 啟用 Power Automate 整合
- 「管理」頁面的相關動作
- 追蹤 Power Automate 使用狀況
- 建立新的流程 (範例)
- 用於流程的觸發器
- 從 Acrobat Sign 之外匯入流程
- 管理流程
- 編輯流程
- 共用流程
- 停用或啟用流程
- 刪除流程
- 實用範本
- 僅限管理員
- 合約封存
- 將完成的文件儲存至 SharePoint
- 將完成的文件儲存至商務用 OneDrive
- 將完成的文件儲存至 Google 雲端硬碟
- 將完成的文件儲存至 DropBox
- 將完成的文件儲存至 Box
- 網頁表單合約封存
- 將完成的網頁表單文件儲存至 SharePoint 資料庫
- 將完成的網頁表單文件儲存至商務用 OneDrive
- 將完成的文件儲存至 Google 雲端硬碟
- 將完成的網頁表單文件儲存至 Box
- 合約資料擷取
- 合約通知
- 傳送包含合約內容和已簽署合約的自訂電子郵件通知
- 在 Teams 頻道中取得您的 Adobe Acrobat Sign 通知
- 在 Slack 中取得您的 Adobe Acrobat Sign 通知
- 在 Webex 中取得您的 Adobe Acrobat Sign 通知
- 合約產生
- 從 Power App 表單和 Word 範本產生文件,傳送以供簽署
- 從 OneDrive 的 Word 範本產生合約,並取得簽名
- 為所選的 Excel 列產生合約,傳送以供檢閱和簽名
- 自訂傳送工作流程
- 共用使用者與合約
與其他產品整合
- Acrobat Sign 整合概觀
- 適用於 Salesforce 的 Acrobat Sign
- 適用於 Microsoft 的 Acrobat Sign
- 其他整合功能
- 合作夥伴管理的整合功能
- 如何取得整合金鑰
Acrobat Sign 開發人員
- REST API
- Webhook
支援與疑難排解
雙向 SSL 驗證
雙向 SSL (通常稱為用戶端 SSL 或相互 TLS),是一種 SSL 模式,其中伺服器和用戶端 (網頁瀏覽器) 都提供憑證來識別自己。
帳戶管理員可以在「安全性設定」頁面設定用戶端憑證。
Acrobat Sign 會在將裝載傳送至 Webhook URL 時驗證 SSL 憑證。未通過 SSL 憑證驗證的 Webhook 將無法成功傳遞 JSON 裝載。
使用雙向 SSL 驗證用戶端 (Acrobat Sign) 並偵聽服務,以確保只有 Acrobat Sign 才能訪問您的 Webhook URL。
如果 Webhook 是由合作夥伴應用程式建立,則在傳送 Webhook 通知時,Webhook 將使用合作夥伴應用程式帳戶中的用戶端憑證 (如果可用) 來識別自己。
以下是網頁伺服器驗證程序和用戶端認證驗證的最常見問題。
網頁伺服器驗證
在註冊 Webhook 期間,Acrobat Sign 會驗證 Webhook 伺服器 URL。
如果無法從 Acrobat Sign 完成與 Webhook 回呼 URL 的連線,客戶將無法註冊 Webhook。
否。
Webhook 回呼 URL 僅能為連接埠 443 或 8443 的 HTTPS。
Acrobat Sign 會封鎖傳出至所有其他連接埠的 HTTPS 流量。
- 問題:伺服器未傳送中繼憑證
修正:在 Webhook 回呼伺服器上安裝中繼憑證。
請造訪 https://www.digicert.com/kb/ssl-certificate-installation.htm 以取得詳細資訊。
用戶端憑證驗證
為了為 Webhook 設定雙向 SSL,管理員需要上傳內含私人金鑰的 .p12 (或 .pfx) 檔案。檔案會安全地儲存在客戶帳戶中,管理員可以完全控制,以隨時移除檔案。
在雙向 Webhook 設定中,Acrobat Sign 為來電者/用戶端,需要私人金鑰以證明是由 Acrobat 代表客戶帳戶進行通話。
-
用戶端憑證可以是自我簽署憑證或 CA 發行的憑證。但是必須至少符合下列 X.509 v3 擴充功能:
X.509 v3 擴充功能
值
ExtendedKeyUsage
clientAuth (OID:1.3.6.1.5.5.7.3.2)
KeyUsage
digitalSignature
用戶端憑證必須是副檔名為 .p12 或 .pfx 的 PKCS12 檔案,且必須同時包含用戶端憑證 (以便伺服器可驗證用戶端身分) 及用戶端的私人金鑰 (讓用戶端能夠數位簽署伺服器訊息以在 SSL 交握期間驗證)。
使用 openssl 命令來驗證 p12 (pfx) 檔案:
openssl pkcs12 -info -in outfile.p12
應請求提供私人金鑰的密碼片語。輸出應包含這兩種憑證,以及一個加密的私人金鑰,例如:
Bag Attributes localKeyID: 9D BD 22 80 E7 B2 B7 58 9E AE C8 42 71 F0 39 E1 E7 2B 57 DB subject=/C=US/ST=California/L=San Jose/O=Adobe Inc./CN=sp.adobesignpreview.com issuer=/C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1 -----BEGIN CERTIFICATE----- MIIGwDCCBaigAwIBAgIQAhJSKDdyQZjlbYO5MJAYOTANBgkqhkiG9w0BAQsFADBP MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMSkwJwYDVQQDEyBE ... JAKQLQ== -----END CERTIFICATE----- Bag Attributes: <No Attributes> subject=/C=US/O=DigiCert Inc/CN=DigiCert TLS RSA SHA256 2020 CA1 issuer=/C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA -----BEGIN CERTIFICATE----- MIIEvjCCA6agAwIBAgIQBtjZBNVYQ0b2ii+nVCJ+xDANBgkqhkiG9w0BAQsFADBh MQswCQYDVQQGEwJVUzEVMBMGA1UEChMMRGlnaUNlcnQgSW5jMRkwFwYDVQQLExB3 ... -----END CERTIFICATE----- Bag Attributes localKeyID: 9D BD 22 80 E7 B2 B7 58 9E AE C8 42 71 F0 39 E1 E7 2B 57 DB Key Attributes: <No Attributes> -----BEGIN ENCRYPTED PRIVATE KEY----- MIIFDjBABgkqhkiG9w0BBQ0wMzAbBgkqhkiG9w0BBQwwDgQI7eNh2qlsLPkCAggA ... FHE= -----END ENCRYPTED PRIVATE KEY-----憑證應至少包含終端實體憑證和中繼憑證。理想情況下,也會包含根 CA 憑證。
通知:確認 .p12 或 .pfx 檔案有密碼片語保護。
-
建立自我簽署用戶端憑證 (選用)
視您的需求而定,用戶端憑證可以是由 CA 簽發或自我簽署。
若要產生自我簽署用戶端憑證,請使用下列 openssl 命令:
openssl req -newkey rsa:4096 -keyform PEM -keyout ca.key -x509 -days 3650 -outform PEM -out ca.cer
注意:將產生的檔案保持機密,因為它們是您自我簽署的 CA 憑證。
接下來,產生用戶端 .p12 檔案:
- 為 SSL 用戶端產生私人金鑰:
openssl genrsa -out client.key 2048
- 使用用戶端私人金鑰來產生憑證請求:
openssl req -new -key client.key -out client.req
- 使用憑證請求和 CA 憑證/金鑰核發用戶端憑證:
openssl x509 -req -in client.req -CA ca.cer -CAkey ca.key -set_serial 101 -extensions client -days 365 -outform PEM -out client.cer
- 將用戶端憑證和私人金鑰轉換為 pkcs#12 格式以供瀏覽器使用:
openssl pkcs12 -export -inkey client.key -in client.cer -out client.p12
- 移除用戶端私人金鑰、用戶端憑證和用戶端請求檔案,因為 pkcs12 具備您所需的一切。
rm client.key client.cer client.req
- 為 SSL 用戶端產生私人金鑰:
-
為什麼即使已使用 Postman 驗證過 PFX 檔案,Acrobat Sign 還是拒絕我的 PFX 檔案?
如果您遵循以上程序進行 pfx 檔案驗證,且 Acrobat Sign 仍拒絕 pfx 檔案,則檔案可能是由能夠產生非標準 PKCS12 檔案的 Microsoft 工具所產生。
在這種情況下,請使用下列 openssl 命令從 pfx 檔案解壓縮憑證及私人金鑰,然後產生正確格式的 PKCS12 檔案:
// Extract certificates and private key from pfx file openssl pkcs12 -info -in microsoftclientssl.pfx -passin pass:"" -out clientcert.crt -nokeys openssl pkcs12 -info -in microsoftclientssl.pfx -passin pass:"" -out clientcert.key -nodes -nocerts // Create new PKCS12 file openssl pkcs12 -export -inkey clientcert.key -in clientcert.crt -out clientcert.pfx
