应预先设置验证首选项。在打开 PDF 后显示包含签名的验证详细信息时,这有助于确保数字签名有效。有关详细信息,请参阅设置签名验证首选项。
当验证数字签名时,在文档消息栏中会出现一个指示签名状态的图标。其它状态详细信息将显示在“签名”面板和“签名属性”对话框中。
设置数字签名验证
收到签名文档后,可能要验证其签名以确认签名者和签名的内容。根据您配置应用程序的方式,可能会自动进行验证。检查签名的数字身份证证书状态和文档完整性的真实性可以确定签名的有效性:
真实性验证确认签名者的证书或其父级证书是否存在于验证者的受信任身份列表中。还确认根据用户的 Acrobat 或 Reader 配置签名证书是否有效。
文档完整性验证确认在签名文档后,签名的内容是否更改。如果内容发生更改,文档完整性验证将确认内容是否以签名者允许的方式更改的。
设置签名验证首选项
根据需要,选择验证选项,然后单击“确定”。
验证行为
当验证时
当验证签名时,这些选项指定决定要选择哪些增效工具的方法。相关的增效工具通常是自动选择的。为验证签名,联系您的系统管理员关于指定增效工具的要求。
要求在验证签名时尽可能执行证书吊销检查...
验证期间对照已排除证书的列表检查证书。默认情况下会选中此选项。如果不选择该选项,则会忽略批准签名的吊销状态。为验证签名总是检查吊销状态。
验证时间
验证签名使用
选择一个选项,指定如何检查数字签名的有效性。默认情况下,您可以根据签名的创建时间来检查时间。或者,根据当前时间或签名文档时时间戳服务器设置的时间来进行检查。
使用过期时间戳
即使签名证书已过期,也使用时间戳提供的安全时间或嵌入在签名中的安全时间。默认情况下会选中此选项。如果不选择此项,则可以忽略过期时间戳。
验证信息
指定是否向已签名的 PDF 中添加验证信息。当验证信息过大时,默认情况下将向用户发出警告。
Windows 集成
指定在验证签名和已验证的文档时是否信任“Windows 证书”功能中的所有根证书。选择这些选项可能会危及安全性。
注意:
建议不要信任 Windows 证书功能中的所有根证书。Windows 中分发的许多证书的设计目的并不是建立可信任身份。
设置证书的信任级别
在 Acrobat 或 Reader 中,如果您和签名者存在信任关系,则验证的或签名的文档的签名是有效的。证书的信任级别指示您信任签名者的哪些动作。
您可以更改证书的信任设置以允许特定的动作。例如,您可以更改设置以在验证的文档中启用动态内容和嵌入 JavaScript。
在“信任”标签中,选择以下任一项目以信任此证书:
将本证书用作可信任根
根证书是颁发证书的证书颁发机构链中的原始颁发机构。通过信任根证书,您可以信任由证书颁发机构办法的所有证书。
签名的文档或数据
确认签名者的身份。
已验证的文档
信任作者用签名验证的文档。您信任签名者进行验证文档,并且您接受验证文档所采取的动作。
选择该选项后,即可选择下列选项:
动态内容
允许电影、声音和其它动态元素在已验证的文档中播放。
嵌入的高优先级 JavaScript
允许嵌入在 PDF 文档中的特权 JavaScript 运行。JavaScript 文件可被恶意利用。仅当需要时对您所信任的证书选择此选项是谨慎的。
特权系统操作
允许对经过验证的文档执行因特网连接、跨域脚本编写、静默打印、外部对象参考和导入/导出方法操作。
注意:
仅允许对您信任并与之紧密合作的来源使用“嵌入的高优先级 JavaScript”和“特权系统操作”。例如,对您的雇主或服务提供商使用这些选项。
有关详细信息,请参阅《数字签名指南》(www.adobe.com/go/acrodigsig_cn)。
数字签名的“签名”面板
“签名”面板可显示有关当前文档中的每个数字签名的信息,以及文档自第一个数字签名之后的更改历史记录。每个数字签名都有一个用于标识其验证状态的图标。验证详细信息列在每个签名下,并可通过展开签名来查看。“签名”面板还提供有关文档签名时间的信息,以及信任和签名者详细信息。
验证“签名”面板中的签名
注意:
您可以右键单击“签名”面板中的签名域来完成大多数与签名相关的任务,其中包括添加、清除和验证签名。可是,在某些情况下,您签名后,系统可能会锁定签名域。
用预览文档模式签名
如果文档完整性对于您的签名工作流程至关重要,请使用“预览文档”功能签名文档。此功能可分析文档中的可能更改文档外观的内容。此时它将压缩该内容,允许您在静态的和安全的状态中查看和签名文档。
“预览文档”功能可帮助您了解文档是否包含任何动态内容或外部依存关系。它还可以帮助您找出文档中是否包含一些可影响其外观的构造,如表单域、多媒体或 JavaScript。在查阅报表后,您可以联系文档的作者,了解在报表中列出的问题。
您还可以在签名工作流外使用“预览文档”模式检查文档的完整性。
验证 PDF
如果您验证 PDF,表示您审批它的内容。您还可以指定不会破坏文档验证状态的许可更改类型。例如,假设政府机关创建了一份包含签名域的表单。当创建了表单之后,政府机关会验证文档,仅允许用户更改表单域和签名文档。用户可以填写表单和签名文档。但如果他们删除了页面或添加了注释,则文档不再是已验证状态。
仅当 PDF 不包含任何其它签名时,您才可以申请验证签名。验证签名可以是可见的或不可见的。“签名”面板中显示的蓝色带状图标 
表示验证签名有效。添加验证数字签名需要数字身份证。
将已验证的签名放在现有数字签名域(如果有)中或您指定的位置。
将验证文档,但您的签名仅显示在“为文档添加时间戳
使用 Acrobat,用户无需基于身份的签名即可向 PDF 中添加文档时间戳。要为 PDF 添加时间戳,需要使用时间戳服务器。(请参阅配置时间戳服务器。)时间戳可确保文档在特定时间的可靠性及存在性。这些时间戳符合 ETSI 102 778 PDF Advanced Electronic Signatures (PAdES) 标准第 4 部分中描述的时间戳和吊销功能。如果文档包含适当的“在 Reader 中启用”功能,则 Reader X(及更高版本)用户也可以为文档添加时间戳。
有关 PAdES 的更多信息,请参阅 blogs.adobe.com/security/2009/09/eliminating_the_penone_step_at.html
验证数字签名
如果签名状态是未知或未验证,请手动验证签名以确定问题和可能的解决方案。如果签名状态无效,请与签名者联系来解决该问题。
有关签名警告以及有效/无效签名的详细信息,请参阅《数字签名指南》(www.adobe.com/go/acrodigsig_cn)。
可以通过检查“签名属性”来评估数字签名和时间戳的有效性。
设置您的签名验证首选项。有关详细信息,请参阅设置签名验证首选项。
查看“签名属性”对话框中的“有效性小结”。该小结可能显示以下消息之一:
签名日期/时间来自签名者计算机上的时钟
时间建立在签名者计算机的当地时间基础上。
签名包含时间戳
签名者使用了时间戳服务器,您的设置指示您与时间戳服务器之间存在信任关系。
签名包含时间戳,但无法验证该时间戳
时间戳验证需要将从时间戳服务器获得的证书添加到您的可信任身份列表中。与系统管理员协商。
签名包含时间戳,但时间戳已过期
Acrobat 和 Reader 根据当前时间验证时间戳。如果时间戳签名者的证书在当前时间之前已过期,将显示该消息。要让 Acrobat 或 Reader 接受过期时间戳,请在“签名验证首选项”对话框(“首选项”>“签名”>“验证: 更多”)中选择“使用已过期时间戳”。验证包含已过期时间戳的签名时,Acrobat 和 Reader 中会显示一条警告消息。
删除数字签名
您无法删除电子签名,除非您是放置签名的人并且已安装用于签名的数字身份证。
执行以下任一操作:
要删除数字签名,请右键单击签名域,然后选择“清除签名”。
要删除 PDF 中的所有数字签名,请从“签名”面板的选项菜单中选择“清除所有签名域”。要打开“签名”面板,请选择“视图”>“显示/隐藏”>“导览窗格”>“签名”。
查看已数字签名的文档的上一版本
每次使用证书签名文档时,此时 PDF 的已签名版本将随该 PDF 一起保存。每一个版本仅作为主文件的追加部分加以保存,无法修改原始版本。所有的数字签名及其相应的版本可以通过“签名”面板访问。
中选择“比较已签名文档的版本
在文档被签名之后,您可以显示文档在上一版本后所做更改的列表。
信任签名者的证书
如果信任某证书,则需要在可信任身份管理器中将其添加到用户的可信任身份列表中并手动设置其信任级别。当使用证书安全性时,最终用户经常在需要时交换证书。或者,他们直接从签名文档中的签名添加证书,然后设置信任级别。但是,企业常常需要员工验证其他人的签名,而无需执行任何手动任务。Acrobat 信任用于签名和验证的、链接到信任锚的所有证书。因此,管理员应预配置客户端安装或让他们的最终用户添加信任锚或锚。有关信任证书的详细信息,请参阅关于基于证书的签名。
PDF 包和数字签名
可以签名 PDF 包内的组件 PDF,也可以将 PDF 包作为整体进行签名。签名组件 PDF 时会锁定该 PDF 进行编辑,从而保护其内容。签名所有组件 PDF 之后,您可以签名整个 PDF 包以完成这个包。或者,也可以将 PDF 包作为整体进行签名,以便同时锁定所有组件 PDF 的内容。
要签名组件 PDF,请参阅签名 PDF。签名的 PDF 将自动保存到 PDF 包中。
要将 PDF 包作为整体进行签名,请签名封面(“视图”>“包”>“封面”)。在将 PDF 包作为整体签名之后,您无法将签名添加到组件文档中。但是,您可以向封面中添加更多的签名。
组件 PDF 的附件上的数字签名
签名封面之前,可以将签名添加到附件。要向附加的 PDF 应用签名,请在单独的窗口中打开 PDF。右键单击附件,然后从上下文菜单中选择“打开文件”。要查看 PDF 包上的签名,请导览至封面,以查看文档消息栏和签名窗格。
已签名和验证的 PDF 包
经过正确签名或验证的 PDF 包有一个或多个用于审批或验证该 PDF 包的签名。最有效的签名显示在工具栏的“签名徽章”中。所有签名的详细信息均显示在封面中。
签名徽章提供了一种用于验证 PDF 包是否经过审批或验证的快捷方式。
要查看签名 PDF 包的组织或人员的名称,请将指针悬停在“签名徽章”上。
要查看“签名徽章”中显示的签名的详细信息,请单击“签名徽章”。封面和左侧的“签名”窗格将打开并显示详细信息。
如果 PDF 包审批或验证无效或有问题,“签名徽章”会显示一个警告图标。要查看该问题的解释,请将指针悬停在带有警告图标的签名徽章上。不同的情况会显示不同的警告图标。
有关警告列表以及每个警告的解释,请参阅《数字签名管理指南》(www.adobe.com/go/acrodigsig_cn)。
XML 数据签名
Acrobat 和 Reader 支持用于签名 XML 表单体系结构 (XFA) 表单中的数据的 XML 数据签名。表单作者可提供有关表单事件(例如单击按钮、保存文件或提交文件)的 XML 签名、验证或清除说明。
XML 数据签名符合 W3C XML-Signature 标准。与 PDF 数字签名一样,XML 数字签名确保文档的完整性、身份验证和不可否认性。
但是,PDF 签名拥有多个数据验证状态。当用户更改 PDF 签名的内容时,将调用一些状态。相比之下,XML 签名仅有两个数据验证状态,即有效和无效。当用户更改 XML 签名的内容时,将调用无效状态。
建立长期签名验证
长期签名验证可用来在文档签名较长时间之后检查签名的有效性。要实现长期验证,已签名的 PDF 中必须嵌入签名验证的所有必需元素。在文档签名时或创建签名后,就会嵌入这些元素。
如果 PDF 中不加入特定信息,签名只在有限时间内有效。产生这种限制的原因是与签名相关的证书最终会过期或被吊销。一旦证书过期,证书颁发机构就不再负责提供该证书的吊销状态。如果不符合吊销状态,就无法验证签名。
确立签名有效性的必要元素包括签名证书链、证书吊销状态,或者时间戳。如果必要元素可用并在签名时嵌入,则通过外部资源获得验证信息即可验证签名。如果必要元素可用,Acrobat 和 Reader 就可嵌入这些元素。PDF 创建者必须为 Reader 用户启用使用权限(“文件”>“另存为其它”>“Reader 扩展的 PDF”)。
注意:
需要有适当配置的时间戳服务器才能嵌入时间戳信息。此外,签名验证时间必须设置为“安全时间”(“首选项”>“安全性”>“高级首选项”>“验证”标签)。CDS 证书可以将验证信息(如吊销和时间戳)添加到文档中,而签名者无需进行任何配置。然而,签名者必须处于联机状态才能获取相应信息。
签名时添加验证信息
如果证书链的所有元素均可用,则信息会自动添加到 PDF 中。如果配置了时间戳服务器,则也会添加时间戳。
签名后添加验证信息
在有些工作流程中,签名验证信息在签名时不可用,但可在以后获得。例如,某位公司官员在乘坐飞机旅行时可能使用便携式电脑签署一份合同。该计算机无法连接 Internet 获得要加入到签名中的时间戳和吊销信息。当以后可以访问因特网时,任何验证该签名的人均可将此信息加入到 PDF 中。随后的所有签名验证也都可以使用此信息。
在 PDF 中包含此长期验证 (LTV) 信息所用的信息和方法符合 ETSI 102 778 PDF Advanced Electronic Signatures (PAdES) 标准的第 4 部分。有关详细信息,请参阅 blogs.adobe.com/security/2009/09/eliminating_the_penone_step_at.html。如果签名无效或是使用自签名证书签名,此命令将不可用。如果验证时间等于当前时间,此命令也不可用。