2

我正在使用 iText 在 PDF 中应用数字签名。数字签名的 PDF 显示类似“文档认证的有效性未知。无法验证作者。至少一个签名有问题”的消息。在顶部。

当我将证书添加到用于创建签名 PDF 的信任身份时,生成的签名 PDF 会显示“已签名且所有签名都有效”。

是否可以通过不向受信任身份添加证书来解决此问题?

提前致谢。

4

3 回答 3

2

显示消息有两个原因。

首先,是您使用了自签名证书或其他证书,其证书链不以根证书结尾,受验证应用程序信任。

其次是签名参数设置不正确,Reader 不知道它需要在 Windows 证书存储中查找证书。我不知道如何在 iText 中指定我的意思——在我们的 SecureBlackbox 中有一个属性。

于 2012-12-21T07:37:46.427 回答
2

请阅读https://itextpdf.com/book/digitalsignatures

第 3.4 节命名为“如何获得绿色复选标记”。

简短版本:如果您想要一个显示绿色复选标记的 PDF 而无需手动安装根证书,您至少需要一个存储在物理设备上的私钥,例如硬件安全模块、USB 令牌或智能卡。

你有这样的钥匙吗?您是否向您的 CA 索要 CDS 或 AATL 证书?

于 2012-12-22T13:56:45.800 回答
1

回复:是否可以通过不向受信任的身份添加证书来解决此问题?

答:不,除非您切换到由 Adob​​e 信任的证书颁发机构授予的数字签名证书。

这是 Adob​​e 一直存在的问题,因为 Adob​​e Reader 不信任操作系统中的 CA。- 相反,Adobe 有自己的列表

所以要么:

  1. 您会从 Adob​​e 列表中的一家公司获得个人证书。
  2. 您在自己的网站上发布组织的根证书并向收件人提供有关如何让 Adob​​e 信任您的说明。(如果您愿意,您的组织可以只有一名成员。)有关此内容的更多信息,请参见下文。
  3. 您告诉您的收件人如何单击 Adob​​e 签名工具栏来检查签名证书的详细信息(并忽略来自 Adob​​e 的可怕的默认警告)。

在湿签名世界中,有些情况下您只是简单地签署了一些东西,而在其他情况下,您需要提供政府签发的身份证件的副本。不幸的是,在当前的数字签名世界中,好像每个签名都需要附有您的驾照副本。这根本不是现实。

一个常见且成功的答案是为组织的所有签名者发布组织的根证书。请参阅AppleWells Fargo示例。

您可以使用来自受信任 CA 的证书在受 SSL 保护的页面上发布您的根证书。这将使业务合作伙伴能够放心地相信您组织的根证书确实来自您的组织。

于 2012-12-23T10:39:38.050 回答