Voraussetzungen - Wurzelzertifikate importieren
Für das Prüfen einer Signatur in einem PDF-Dokument mit dem Adobe Acrobat müssen Sie vorab Wurzelzertifikate importieren - ohne eingebettetes Wurzelzertifikat erscheinen die Signaturen als ungültig. Folgen Sie dafür einfach den Anleitungen auf dieser Seite.
Inhalt dieser Seite
Wurzelzertifikate - Merkmale und Funktion
- auch Stammzertifikat oder Root-Zertifikat genannt
- selbstsigniertes Zertifikat einer oberen Zertifizierungsstelle (Root-CA), welches somit auf kein übergeordnetes Zertifikat verweist
- dient zur Validierung der Vertrauenswürdigkeit aller untergeordneten Zertifikate
→ Das bedeutet: Damit eine digitale Signatur, welche auf einem Nutzerzertifikat von der DFN oder GÉANT-TCS basiert, als gültig validiert wird, muss entweder das mit der Signatur verbundene Zertifikat oder ein Zertifikat von einem Aussteller, welches in der Zertifikatskette des verwendeten Zertifikats enthalten ist, entsprechend importiert und als Vertrauensanker festgelegt werden. Am besten wird das Wurzelzertifikat bzw. das Zertifikat der obersten Zertifizierungsstelle in einer Kette von Zertifizierungsstellen importiert.
GÉANT-TCS Wurzelzertifikat (beantragt v. Sectigo) importieren
Sicherheitseinstellungen aktualisieren
Als Erstes sollten Sie ihre Sicherheitseinstellungen aktualisieren bzw. in Adobe Acrobat alle Wurzelzertifikate aus der Adobe Approved Trust-Liste (AATL) sowie aus der Trust-Liste der Europäischen Union (EUTL) importieren.
1. Klicken Sie in Adobe Acrobat im Menü „Bearbeiten“ auf den Punkt „Einstellungen“:
2. Unter "Vertrauensdienste" klicken Sie auf beide "Jetzt aktualisieren" Schaltflächen, um alle von Adobe sowie von der Europäischen Union ausgelieferten vertrauenswürdigen Wurzelzertifikate zu importieren:
3. Zudem sollten Sie den Haken bei "Vertrauenswürdige Zertifikate von einem Adobe AATL-Server laden" rausnehmen, damit die noch folgenden Installationen von Wurzelzertifikaten nicht beim nächsten automatischen Update von Adobe Acrobat geändert werden.
Wurzelzertifikat installieren mittels FDF-Datei
Die Nutzerzertifikate vom GÉANT-TCS basieren auf den Wurzelzertifikaten von Sectigo und je nach Algorithmus des Schlüssels enden Zertifizierungsketten in TCS üblicherweise auf einem der beiden Root-Zertifikate „USERTrust“.
Zur Vereinfachung des Imports finden Sie hier zwei FDF-Dateien, die beim Installieren der benötigten Wurzelzertifikate in Adobe Acrobat helfen.
| FDF-Datenaustauschdateien |
|---|
| USERTrust_ECC_CA.fdf |
| USERTrust_RSA_CA.fdf |
1. Laden Sie die FDF-Datei "USERTrust_ECC_CA.fdf" herunter und öffnen Sie zunächst die FDF-Datei mit Adobe Acrobat
2. Beim Starten öffnet sich ein Fenster, wo sie auf "Vertrauen festlegen..." klicken
3. Danach setzen Sie einen Haken bei "Dieses Zertifikat als vertrauenswürdigen Stamm verwenden" sowie bei "Zertifizierte Dokumente" und klicken auf "OK"
4. Zum Schluss bestätigen Sie die erscheinende Meldung mit "OK"
5. Mit der FDF-Datei "USERTrust_RSA_CA.fdf" machen Sie die gleichen Schritte von 1-4.
Hinweis
Das Wurzelzertifikat der "USERTrust RSA Certification Authority" muss nicht unbedingt importiert werden, wenn die Sicherheitseinstellungen wie beschrieben aktualisiert wurden, da das Zertifikat von Adobe Acrobat ausgeliefert wird.
Falls dieses Zertifikat schon drin ist, bekommen Sie diese Meldung:
"1doppeltes(s) Zertifikat(e) verworfen" → Klicken Sie einfach auf "OK"
Doch ohne Import mittels der FDF-Datei muss die Richtlinieneinschränkung für das Wurzelzertifikat der "USERTrust RSA Certification Authority" bearbeitet werden.
Zertifikats-Richtlinieneinschränkung ändern
1. Klicken Sie in Adobe Acrobat im Menü „Bearbeiten“ auf den Punkt „Einstellungen“
2. In den Einstellungen klicken Sie unter "Unterschriften" → "Identitäten und vertrauenswürdige Zertifikate" auf "Weitere..."
3. In das sich öffnende Fenster sollten Sie nun unter "Vertrauenswürdige Zertifikate" auf das Zertifikat "USERTrust RSA Certification Authority" klicken bzw. dies markieren und auf "Einstellungen für Vertrauenswürdigkeit bearbeiten" klicken
4. Dann wechseln Sie auf den Tab "Richtlinieneinschränkungen" und löschen den Eintrag bei "Zertifikatsrichtlinie" und bestätigen die Änderungen mit "OK"
Das Wurzelzertifikat der "USERTrust ECC Certification Authority" wird wiederum nicht von Adobe Acrobat ausgeliefert und muss mittels FDF-Datei importiert werden.
Mit den vorherigen Schritten haben Sie das Wurzelzertifkat importiert, auf der alle persönlichen Zertifikate basieren, die ab Beginn 2023 an der HHU ausgegeben wurden (bereits ab Mitte 2022 waren diese Zertifikate bereits erhältlich). Um alle zuvor beantragten Zertifikate zu prüfen, müssen Sie noch folgende Schritte durchführen.
T-TeleSec Wurzelzertifikat (beantragt v. DFN) importieren
Um eine digitale Signatur zu validieren, welche auf einem alten Nutzerzertifikat basiert, das nicht über den GÉANT-TCS, sondern über die übergeordnete Zertifizierungsstelle der DFN-PKI (DFN-PCA) ausgestellt wurde (persönliche Vorstellung im ZIM bei der Ausstellung), muss zusätzlich das Wurzelzertifikat von der Deutschen Telekom importiert werden.
1. Zuerst gehen Sie bei "Bearbeiten" in die Einstellungen.
2. Dort wählen Sie den Menüpunkt "Unterschriften" aus und klicken unter "Identitäten und vertrauenswürdige Zertifikate" auf "Weitere...".
3. Im folgenden Fenster gehen Sie bei "vertrauenwürdige Zertifikate" auf den blauen Pfeil.
4. Bevor Sie auf "Durchsuchen" gehen laden Sie sich bitte das Wurzelzertifikat, eine GlobalRoot_Class_2.crt Datei auf der Seite https://corporate-pki.telekom.de/GlobalRootClass2.html unter "Öffentliche CA-Zertifikate", "T-TeleSec GlobalRoot Class 2" runter.
5. Falls Sie die Datei im Explorer nicht mehr finden, wenn Sie auf "Durchsuchen" gehen liegt das daran das andere Dateitypen erwartet werden und .pem Dateien nicht angezeigt werden. Sie können diese Datei aber denoch auswählen indem Sie einfach den Namen der Datei bei "Dateiname" reinschreiben und auf "Öffnen" gehen.
6. So müsste es aussehen, wenn Sie die richtige Datei ausgewählt haben. Sollte das bei Ihnen so aussehen können Sie nun auf "importieren" klicken.
7. Hier können Sie einfach auf "ok" klicken. Dieses Fenster bestätigt nur das der Import erfolgreich war.
8. Nun können Sie das Zertifikat, welches Sie hinzugefügt haben, auswählen und Adobe's Umgang damit konfigurieren.
9. Hier legen Sie fest, dass es sich um zertifizierte Dokumente handelt und Adobe das Zertifikat als Standard verwenden soll und schließen dann alle Fenster.
Sofern Sie den Anleitungen auf dieser Seite gefolgt sind, müssten die Signaturen, die auf persönlichen Nutzerzertifikaten, die von der HHU Düsseldorf ausgegeben wurden, als gültig erscheinen.
Fehlermeldung bei Fehlen des Wurzelzertifikats
Eine digitale Signatur wird standardmäßig von Adobe Acrobat automatisch nach der Gültigkeit überprüft.
Kann die Unterschrift nicht automatisch überprüft werden, erscheint die Fehlermeldung "Mindestens eine Unterschrift erfordert eine Validierung" und die Unterschrift müsste explizit über das Anklicken auf "Unterschriftsfenster" (oben rechts) sowie auf "Alle prüfen" überprüft werden.
Nach der Überprüfung der elektronischen Signaturen im Dokument erscheint eine blaue Anzeigeleiste. Erscheint dort der Text „Gültigkeit der Unterschrift ist UNBEKANNT" oder "Es gibt bei mindestens einer Unterschrift Probleme o.ä., dann kann dies darauf hindeuten, dass verwendete Signaturen auf Zertifikate basieren, welche nicht bei Ihnen als vertrauenswürdig eingestuft sind. Denn bei der Gültigkeitsprüfung wird u. a. überprüft, ob das Zertifikat des Unterzeichners oder ein entsprechend übergeordnetes Zertifikat in der Liste vertrauenswürdiger Identitäten des Prüfenden vorhanden ist.
Erkennen einer (LTV-fähigen) Signatur
Um zu prüfen, ob eine Signatur LTV-fähig ist, müssen Sie oben rechts auf das "Unterschriftenfenster" gehen, welches sich links öffnet.
Klicken Sie auf den Pfeil, der sich links neben "Revision 1: Unterschieben von [...]" befindet
Unter "Unterschrift ist gültig" sollte sich ein Stichpunkt mit "eUnterschrift ist LTV-fähig" zeigen
