Я пытаюсь настроить цифровые подписи PDF с использованием сертификатов, созданных openssl. Я создал сертификат CA и использовал его для подписи сертификатов конечных пользователей, которые я архивирую в формате PKCS # 12. Я импортировал сертификат CA в Adobe Reader и доверял ему, и он показывает, что сертификатам конечного пользователя доверяют «подписывать документы или данные». Я также настроил сервер CRL, и Adobe Reader успешно подтверждает, что сертификат конечного пользователя не был отозван. Однако, когда я выбираю редактировать> настройки> подписи> Настройки цифрового идентификатора и доверенного сертификата, выбираю цифровую идентификацию конечного пользователя и выбираю «Параметры использования» в верхнем баннере, все параметры, включая «Использовать для подписи», отображаются серым цветом. .
Я пробовал различные расширения KeyUsage и ExtendedKeyUsage в сертификате конечного пользователя. Например,
keyUsage = critical, digitalSignature, nonRepudiation
extendedKeyUsage = 1.3.6.1.4.1.311.10.3.12, 1.2.840.113583.1.1.5
# (Microsoft Document Signing and Adobe Authentic Documents)
Они соответствуют требованиям, изложенным в https://www.adobe.com/devnet-docs/etk_deprecated/tools/DigSig/changes.html#everything-after-11-0-10 под версией 11.0.09 для расширений KU и EKU. Я также пробовал без продления, поскольку в этих документах указано, что это также следует принять. Я пробовал как импортировать сертификат конечного пользователя непосредственно в Reader, так и импортировать его в хранилище учетных данных Windows, что также делает его видимым в Reader. Однако «Использовать для подписи» вариант остается упорно неактивна!
Те же сертификаты можно использовать для подписи PDF-файлов с помощью SignServer, а Reader затем показывает, что документ был правильно подписан доверенным сертификатом.
Заранее благодарим за помощь.
Я установил Acrobat DC Pro, думая, что, возможно, это даст некоторое представление о проблеме с сертификатом. Однако он позволил мне выбрать «Использовать для подписи» с точно такими же сертификатами - мне даже не пришлось повторно импортировать их, поскольку Acrobat и Reader совместно используют хранилище сертификатов. Затем я вернулся в Reader, и сертификат был помечен как «одобрен для подписания», и я смог переключить этот параметр, так что не просто Acrobat DC включил его, поведение Reader также изменилось. Значит, свойства сертификата верны. Возможно, установка Acrobat DC Pro обновила общую библиотеку, что решило проблему в Reader.