什么是数字签名?
数字签名是用于对文档进行电子签名和证明文档真实的安全有效方法,可确保文档真实性和完整性。通过使用数字签名,您可以轻松快速地签名文档,并确保它们无法被篡改或伪造。
为什么要验证数字签名?
收到签名文档后,可能要验证其签名以确认签名者和签名的内容。根据您配置应用程序的方式,可能会自动进行验证。检查签名的数字身份证证书状态和文档完整性的真实性可以确定签名的有效性:
为验证真实性,验证器会检查签名者的证书或其父证书是否受信任。还会根据用户的 Acrobat 或 Acrobat Reader 设置检查签名证书的有效性。
为验证文档完整性,验证程序会检查签名内容是否在签名后进行了更改。如果进行了更改,验证将确保签名者允许这些更改。
设置验证数字签名的首选项
您可以事先设置验证首选项,以便在打开 PDF 时数字签名有效,并且验证详细信息与签名一起显示。当验证数字签名时,在文档消息栏中会出现一个指示签名状态的图标。
选择汉堡菜单 (Windows®) 或转到 Acrobat (macOS) > 首选项。
在“首选项”对话框中,从种类下选择签名。
在数字签名面板的验证框中,选择更多...
在打开的“签名验证首选项”对话框中,可以控制以下设置:
设置自动验证签名:在选中当文档打开时验证签名复选框的情况下,Acrobat 会在您打开文档时自动验证 PDF 中的所有签名。
设置验证行为:这些选项指定的方法决定了在验证签名时要选择哪些增效工具的方法。相关的增效工具通常是自动选择的。为验证签名,联系您的系统管理员关于指定增效工具的要求。
检查证书的吊销状态:在选中要求在验证签名时执行证书吊销检查复选框的情况下,Acrobat 会在验证期间对照已排除证书的列表检查证书。如果取消选中此复选框,则会忽略 Acrobat 批准签名的吊销状态。请务必检查吊销状态以验证签名。
使用过期的时间戳:默认情况下,该选项处于选中状态。即使签名证书已过期,也使用时间戳中提到的时间或嵌入在签名中的时间。如果取消选中此复选框,Acrobat 将丢弃过期的时间戳。
设置验证时间:您可以选择“验证时间”下的相应选项,以检查创建签名的时间、检查签名中嵌入的时间戳或检查当前时间。
添加验证信息:选择“验证信息”下的相应选项,以便将验证信息添加到已签名的 PDF,或者在验证信息太大时提醒用户。
配置为信任 Windows® 证书存储区中的根证书:您可以指定对于以下事项,是否信任 Windows® 证书存储区中的所有根证书:
验证签名:对于 Acrobat 批准签名验证,信任证书。
验证已认证的文档:对于认证签名验证,信任证书。
注意:选择这些选项可能会危及安全性。
设置证书的信任级别
在 Acrobat 或 Acrobat Reader 中,如果您和签名者存在信任关系,则验证的或签名的文档的签名是有效的。证书的信任级别指示您信任签名者的哪些动作。
您可以更改证书的信任设置以允许特定的动作。例如,您可以更改设置以在验证的文档中启用动态内容和嵌入 JavaScript™。
导航至汉堡菜单 (Windows) 或 Acrobat 菜单 (macOS) > 首选项 > 签名。
对于身份与可信任证书,选择更多...
在左侧面板中,选择可信任证书。
从列表中选择一个证书,然后选中编辑信任。
在打开的编辑证书信任对话框中,选择以下任一项目以信任证书:
将本证书用作可信任根:根证书是颁发证书的证书颁发机构链中的原始颁发机构。通过信任根证书,您可以信任由证书颁发机构办法的所有证书。
签名的文档或数据:确认签名者的身份。
已验证的文档:信任这些文档:作者已用签名验证的文档。您信任签名者进行验证文档,并且您接受验证文档所采取的动作。
选择“已验证的文档”选项后,即可选择下列选项:
动态内容:它允许电影、声音和其他动态元素在已验证的文档中播放。
嵌入的高优先级 JavaScript™:它允许嵌入在 PDF 文档中的高优先级 JJavaScript™ 运行。JavaScript™ 文件可能会被恶意利用。仅当需要时对您所信任的证书选择此选项是谨慎的。
特权系统操作:它允许对经过验证的文档执行因特网连接、跨域脚本编写、静默打印、外部对象参考和导入/导出方法操作。
注意:
仅允许对您信任并与之紧密合作的来源使用嵌入的高优先级 JavaScript™ 和特权系统操作。例如,对您的雇主或服务提供商使用这些选项。
选择确定。
有关详细信息,请参阅《数字签名指南》,网址为:www.adobe.com/go/acrodigsig_cn。
注意:
您可以右键单击签名面板中的签名域来完成大多数和签名相关的任务,包括添加、清除和验证签名。可是,在某些情况下,您签名后,系统可能会锁定签名域。
在预览模式下签名以确保文档完整性
当文档完整性对于您的签名工作流程至关重要时,您可以启用“在预览模式下查看文档”,然后对文档进行签名。此功能可分析文档中是否有可能改变文档的外观和视觉效果的内容,并取消这些内容允许您在静态和安全状态下查看和签名文档。
通过在预览模式下签名,您可以找出文档是否包含以下内容:
任何动态内容或外部依赖项。
诸如表单域、多媒体或 JavaScript™ 等任何可能会影响外观的构造。
在查阅报表后,您可以联系文档的作者,了解在报表中列出的问题。
导航至汉堡菜单 (Windows) 或 Acrobat 菜单 (macOS) > 首选项 > 签名。
对于创建和外观,选择更多...
选中在预览模式下查看文档复选框。
在 PDF 中,选择签名域并选择签署文档。
文档消息栏中将显示规范符合状态和选项。
(可选)从文档消息栏中,选择查看报告(如果可用),然后选择列表中的每个项目以显示详细信息。完成后,关闭 PDF 签名报告对话框。
如果您对文档的合规性状态感到满意,请从文档消息栏中选择签署文档并添加您的数字签名。
使用不同的文件名而不是原文件名保存 PDF,然后关闭文档而不进行任何进一步的更改。
验证 PDF
验证 PDF 意味着批准其内容,并指定允许对文档进行哪些更改以保持已验证状态。例如,政府机构会创建一个具有签名域的表单并进行验证,使得只允许用户更改表单域和签名文档。删除页面或添加注释将导致失去已验证状态。
仅当 PDF 没有其他签名时,才能应用验证签名。这些签名可以是可见的或不可见的,并且“签名”面板中的蓝色绶带图标 确认有效的验证签名。添加验证数字签名需要使用数字身份证。
删除可能危害文档安全性的内容,如 JavaScript、动作或嵌入的媒体。
在所有工具菜单中,选择使用证书。
从左侧的“使用证书”菜单中,选择下列选项之一:
验证(可见签名):它会将已验证的签名放置到现有数字签名域(如果可用)或指定的位置中。
验证(不可见签名):它会验证文档,但您的签名仅显示在“签名”面板中。
按照屏幕上的说明放置签名(如果适用):指定数字身份证,然后根据需要选择验证后允许的动作选项。
注意:
如果启用了“在预览模式下签名”,请在文档消息栏中选择签署文档。
使用不同的文件名而不是原文件名保存 PDF,然后关闭文档而不进行更多更改。将其另存为一个不同的文件,以便您可以保留原始未签名的文档,是一个不错的方法。
为文档添加时间戳
Acrobat 允许用户无需基于身份的签名即可向 PDF 中添加文档时间戳。要为 PDF 添加时间戳,需要时间戳服务器。了解如何 配置时间戳服务器 。
时间戳可确保文档在特定时间真实存在,并符合 ETSI 102 778 PDF Advanced Electronic Signatures (PAdES) 标准。
打开要添加时间戳的文档。
在所有工具菜单中,选择使用证书。
从左侧的使用证书菜单中,选择时间戳。
在随后打开的选择默认时间戳服务器对话框中,从列表中选择默认时间戳服务器,或添加新的默认时间戳服务器。
选择下一步,然后使用时间戳保存文档。
验证数字签名
如果签名状态为未知或未验证,请手动验证签名以确定问题并查找可能的解决方案。如果签名状态为无效,则必须与签名者联系以解决问题。
有关签名警告以及有效/无效签名的详细信息,请参阅《数字签名指南》。
您可以通过检查签名属性来评估数字签名和时间戳的有效性。
设置签名验证首选项。
打开包含签名的 PDF,然后选择该签名。
签名验证状态对话框说明了签名的有效性。
有关签名和时间戳的更多信息,请选择签名属性。
在签名属性对话框中,查看“有效性摘要”,它可能显示以下消息之一:
签名日期/时间来自签名者计算机上的时钟
:时间建立在签名者计算机的当地时间基础上。
签名包含时间戳:签名者使用时间戳服务器,您的设置指示您与时间戳服务器之间存在信任关系。
签名包含时间戳,但无法验证该时间戳:时间戳验证需要将从时间戳服务器获得的证书添加到您的可信任身份列表中。与系统管理员协商。
签名包含时间戳,但时间戳已过期: Acrobat 会根据当前时间验证时间戳。如果时间戳签名者的证书在当前时间之前已过期,将显示该消息。要接受过期的时间戳,请转到汉堡菜单 (Windows) 或 Acrobat 菜单 (macOS) > 首选项 > 签名 > 验证:更多...,然后在签名验证首选项对话框中,选择使用过期的时间戳。在验证包含过期的时间戳的签名时,将会显示一条警告消息。
有关签名者的证书的详细信息(例如签名的信任设置或法律限制),请在签名属性对话框中选择显示签名者的证书。
如果文档在签名后被修改,请检查文档的已签名版本并和当前版本进行比较。
验证所有数字签名
打开要在其中验证所有数字签名的 PDF。
从左上角的全局栏中,选择所有工具。
在所有工具窗格中,选择使用证书 > 验证所有签名。
在确认对话框中选择确定。验证所有签名后,您会收到一条确认消息。
查看已数字签名的文档的上一版本
每当使用证书签署文档时,系统都会创建一个签名版本的 PDF 并与原始 PDF 一起保存。保存的版本采用仅追加的格式,这意味着无法修改原始 PDF。“签名”面板可让用户访问所有数字签名及其相应版本。
要查看以前的版本,请打开“签名”面板,然后选择“选项” > 查看签名版本。
前一版本在新的 PDF 中打开,版本信息和签名者的名字显示在标题栏中。若要返回原始文件,請從 Windows® 選單選擇文件名稱。
比较签名文档的版本
在文档被签名之后,您可以显示文档在上一版本后所做更改的列表。
要比较之前的版本,请打开“签名”面板,然后选择签名。然后,选择“选项” > 比较签名版本与当前版本。
完成后,关闭临时文档。
信任签名者的证书
要信任某个证书,必须将该证书添加到可信任身份管理器中的用户可信任身份列表中。此外,必须手动设置证书的信任级别。最终用户可以交换证书,也可以直接从签名的文档中添加证书并设置其信任级别。但是,企业可能需要员工验证签名(无需手动干预)。Acrobat 信任所有由信任锚签名和验证的证书。因此,管理员可以预配置客户端安装或允许最终用户添加信任锚。有关信任证书的更多信息,请参阅关于基于证书的签名。
Adobe 无法自动验证使用自签名证书添加的数字签名,这是因为该证书不在 Adobe 用于验证签名的可信任身份列表中。自签名证书是您自己使用第三方应用程序生成的证书。在 Adobe 信任该证书之前,您无法手动验证签名。如果您開啟此類型的 PDF,畫面會顯示警告訊息:至少有一個簽名發生問題。
注意:
出于安全原因,Adobe 建议您不要将自签名证书或任何随机证书添加到 Adobe 的可信任身份列表中。
要将用于应用数字签名的证书添加到 Adobe 的可信任身份列表中,请执行以下操作:
打开“签名”面板。
右键单击签名,然后选择显示签名属性。
在“签名属性”对话框中,选择显示签名者证书。
在证书查看器对话框中,选择信任 > 添加到可信任证书。
选择确定。
签名组件 PDF 和 PDF 包
可以签名 PDF 包内的组件 PDF,也可以将 PDF 包作为整体进行签名。签名组件 PDF 时会锁定该 PDF 进行编辑,从而保护其内容。签名所有组件 PDF 之后,您可以签名整个 PDF 包以完成这个包。或者,也可以将 PDF 包作为整体进行签名,以便同时锁定所有组件 PDF 的内容。
要签名组件 PDF,请参阅签名 PDF。已签名的 PDF 将自动保存到 PDF 包中。
要将 PDF 包作为整体进行签名,请签名封面(视图 > 包 > 封面)。在将 PDF 包作为整体签名之后,您无法将签名添加到组件文档中。但是,您可以向封面中添加更多的签名。
对组件 PDF 的附件进行数字签名
签名封面之前,可以将签名添加到附件。若要這麼做:
在单独的窗口中打开 PDF。
右键单击附件,然后选择打开文件。
要查看 PDF 包上的签名,请导览至封面,以查看文档消息栏和签名窗格。
查看已签名和已验证的 PDF 包
经过正确签名或验证的 PDF 包有一个或多个用于审批或验证该 PDF 包的签名。最有效的签名显示在工具栏的“签名徽章”中。所有签名的详细信息均显示在封面中。
要查看签名 PDF 包的组织或人员的名称,请将指针悬停在“签名徽章”上。
要查看“签名徽章”中显示的签名的详细信息,请单击“签名徽章”。封面和左侧的“签名”窗格将打开并显示详细信息。
如果 PDF 包审批或验证无效或有问题,“签名徽章”会显示一个警告图标。要查看该问题的解释,请将指针悬停在带有警告图标的签名徽章上。不同的情况会显示不同的警告图标。
有关警告列表以及每个警告的解释,请参阅《数字签名管理指南》。
XML 数据签名
Acrobat 和 Acrobat Reader 支持用于签名 XML 表单体系结构 (XFA) 表单中的数据的 XML 数据签名。表单作者提供有关表单事件(例如单击按钮、保存文件或提交)的 XML 签名、验证或清除说明。
XML 数据签名符合 W3C XML-Signature 标准。与 PDF 数字签名一样,XML 数字签名确保文档的完整性、身份验证和不可否认性。
但是,PDF 签名拥有多个数据验证状态。当用户更改 PDF 签名的内容时,将调用一些状态。相比之下,XML 签名仅有两个数据验证状态,即有效和无效。当用户更改 XML 签名的内容时,将调用无效状态。
建立长期签名验证
长期签名验证允许您在签署文档很久之后验证签名的有效性。要实现此目的,已签名的 PDF 中必须嵌入签名验证的所有必需元素。这些元素可以在文档签名过程中嵌入,也可以在以后添加。
如果某些信息未包含在 PDF 中,则只能在有限的时间内验证签名,因为与签名有关的证书最终会过期或被撤销。证书过期后,颁发机构将不再负责提供吊销状态,从而使得签名不可验证。
签名有效性的必要元素包括签名证书链、证书吊销状态和可能的时间戳。如果在签名期间嵌入这些元素,则无需外部资源即可验证签名。
Acrobat 和 Acrobat Reader 可以嵌入必要元素(如果可用),PDF 创建者必须转到汉堡菜单 (Windows) 或 Acrobat 菜单 (macOS) > 另存为其他 > Acrobat Reader 扩展 PDF,为 Acrobat Reader 用户启用使用权限。
注意:
需要有适当配置的时间戳服务器才能嵌入时间戳信息。此外,签名验证时间必须设置为“安全时间”(通过导航至首选项 > 安全性 > 高级首选项 > 验证选项卡)。
CDS 证书可以将验证信息(如吊销和时间戳)添加到文档中,而签名者无需进行任何配置。然而,签名者必须处于联机状态才能获取相应信息。
签名时添加验证信息
要在签名时添加验证信息:
确保计算机可以连接到适当的网络资源。
转到首选项 > 签名 > 创建和外观:更多,请确保选中包含签名的吊销状态选项。
签名 PDF。
如果证书链的所有元素均可用,则信息会自动添加到 PDF 中。如果配置了时间戳服务器,则也会添加时间戳。
签名后添加验证信息
在某些工作流程中,签名验证信息在签名过程中可能不可用,但可在以后获取。例如,某位公司官员在旅行时可能在无法访问因特网的情况下使用便携式电脑签署一份合同。当后来可以访问因特网时,任何验证该签名的人都可以在 PDF 中添加时间戳和吊销信息。后续签名验证也可以利用此信息。
要在签名后添加验证信息:
确保计算机可以连接到适当的网络资源,然后右键单击 PDF 中的签名。
选择添加验证信息。
在 PDF 中包含此长期验证 (LTV) 信息所用的信息和方法符合 ETSI 102 778 PDF 高级电子签名 (PAdES) 标准的第 4 部分。
如果签名无效或是使用自签名证书签名,此命令将不可用。如果验证时间等于当前时间,此命令也不可用。
更多此类内容
使用证书保护 PDF
数字身份证
签名 PDF
在线 PDF 工具:在线填写并签署 PDF