我正在尝试使用 openssl 生成的证书设置 PDF 数字签名。我已生成 CA 证书,并使用该证书对最终用户证书进行签名,我将其存档为 PKCS#12 格式。我已在 Adobe Reader 中导入并信任该 CA 证书,它显示最终用户证书被信任可以“签署文档或数据”。我还设置了一个 CRL 服务器,Adobe Reader 成功确认最终用户证书未被吊销。但是,当我选择编辑 > 首选项 > 签名 > 数字 ID 和受信任证书设置,选择最终用户的数字身份,并从顶部横幅中选择“使用选项”时,包括“用于签名”在内的所有选项都变灰。
我尝试了各种 KeyUsage 和 ExtendedKeyUsage 扩展来处理最终用户证书。例如,
keyUsage = critical, digitalSignature, nonRepudiation
extendedKeyUsage = 1.3.6.1.4.1.311.10.3.12, 1.2.840.113583.1.1.5
# (Microsoft Document Signing and Adobe Authentic Documents)
这些似乎符合https://www.adobe.com/devnet-docs/etk_deprecated/tools/DigSig/changes.html#everything-after-11-0-10在版本 11.0.09 下,KU 和 EKU 扩展。我也尝试过不使用扩展,因为文档表明也应该接受。我尝试过将最终用户证书直接导入 Reader,并将其导入 Windows 凭据存储,这也使其在 Reader 中可见。但是“用于签名”选项仍然顽固地呈灰色!
相同的证书可用于通过 SignServer 签署 PDF,然后 Reader 会显示该文档已由受信任的证书正确签署。
提前感谢你的帮助。
答案1
我安装了 Acrobat DC Pro,以为它可能会给出证书问题的一些提示。但是,它允许我使用完全相同的证书选择“用于签名”——我甚至不必重新导入它们,因为 Acrobat 和 Reader 共享一个证书存储。然后我回到 Reader,证书被标记为“批准签名”,并且我能够切换此设置,所以这不仅仅是 Acrobat DC 启用了它,Reader 的行为也发生了变化。所以证书属性是正确的。安装 Acrobat DC Pro 可能会更新共享库,从而解决 Reader 中的问题。