我正在使用 iText 在 PDF 中应用数字签名。数字签名的 PDF 显示类似“文档认证的有效性未知。无法验证作者。至少一个签名有问题”的消息。在顶部。
当我将证书添加到用于创建签名 PDF 的信任身份时,生成的签名 PDF 会显示“已签名且所有签名都有效”。
是否可以通过不向受信任身份添加证书来解决此问题?
提前致谢。
我正在使用 iText 在 PDF 中应用数字签名。数字签名的 PDF 显示类似“文档认证的有效性未知。无法验证作者。至少一个签名有问题”的消息。在顶部。
当我将证书添加到用于创建签名 PDF 的信任身份时,生成的签名 PDF 会显示“已签名且所有签名都有效”。
是否可以通过不向受信任身份添加证书来解决此问题?
提前致谢。
显示消息有两个原因。
首先,是您使用了自签名证书或其他证书,其证书链不以根证书结尾,受验证应用程序信任。
其次是签名参数设置不正确,Reader 不知道它需要在 Windows 证书存储中查找证书。我不知道如何在 iText 中指定我的意思——在我们的 SecureBlackbox 中有一个属性。
请阅读https://itextpdf.com/book/digitalsignatures
第 3.4 节命名为“如何获得绿色复选标记”。
简短版本:如果您想要一个显示绿色复选标记的 PDF 而无需手动安装根证书,您至少需要一个存储在物理设备上的私钥,例如硬件安全模块、USB 令牌或智能卡。
你有这样的钥匙吗?您是否向您的 CA 索要 CDS 或 AATL 证书?
回复:是否可以通过不向受信任的身份添加证书来解决此问题?
答:不,除非您切换到由 Adobe 信任的证书颁发机构授予的数字签名证书。
这是 Adobe 一直存在的问题,因为 Adobe Reader 不信任操作系统中的 CA。- 相反,Adobe 有自己的列表。
所以要么:
在湿签名世界中,有些情况下您只是简单地签署了一些东西,而在其他情况下,您需要提供政府签发的身份证件的副本。不幸的是,在当前的数字签名世界中,好像每个签名都需要附有您的驾照副本。这根本不是现实。
一个常见且成功的答案是为组织的所有签名者发布组织的根证书。请参阅Apple和Wells Fargo示例。
您可以使用来自受信任 CA 的证书在受 SSL 保护的页面上发布您的根证书。这将使业务合作伙伴能够放心地相信您组织的根证书确实来自您的组织。