Inhalt der Seite
Für das Signieren eines PDF-Dokuments mit dem Adobe Acrobat müssen Sie vorab ein Persönliche Nutzerzertifikate beantragen
Auf dieser Seite erklären wir Ihnen, wie Sie das Persönliches Nutzerzertifikat einbinden und das Werkzeug im Adobe Acrobat nutzen, um digital zu unterschreiben. Zudem erklären wir Ihnen die Einrichtung von langfristig gültigen Signaturen.
The following requirements must be met in order to sign a PDF document with Adobe Acrobat: Persönliche Nutzerzertifikate beantragen
On this page, we explain how to integrate the personal user certificate and use the tool in Adobe Acrobat to sign digitally. We also explain how to set up signatures with long-term validity.
Nutzerzertifikat einbinden / Integrate user certificate
1. Zuerst gehen Sie bei Adobe unter "Bearbeiten" zu den "Einstellungen".
1. First (in the Adobe Reader) click on the hamburger Symbol "Menu" or in Adobe Acrobat Pro on "Edit" and then on „Preferences...“
2. Danach gehen Sie beim Unterpunkt "Unterschriften" unter "Identitäten und vertrauenswürdige Zertifikate" auf "Weitere..."
2. In the settings, click on the "Signatures" category and then on the "More..." button next to "Identities and Trusted certificates"
3. Hier gehen Sie auf den Tab "Digitale ID-Dateien" oben links auf "Datei anhängen"
3. Go to the "Digital ID Files" tab at the top left and click on "Attach File"
4. Dann wählen Sie ihre Zertifikatdatei aus, eine .p12-Datei, und öffnen diese
4. Select your certificate file, a .p12 file, and open it by clicking "Open"
5. Um das Zertifikat zu öffnen, müssen Sie nun das Passwort eingeben welches das Zertifikat schützt und klicken Sie auf "OK"
5. To open the certificate, you must now enter the password that protects the certificate. Then click the "OK" button
6. Wenn Sie alles richtig gemacht haben, sollte Ihre Zertifikatsdatei nun im offenen "Digitale ID-Dateien"- Fenster angezeigt werden. Sollte das der Fall sein, können Sie die "Einstellungen" verlassen
6. If you have done everthing correctly your certificate file should now be displayed in the open "Digital ID Files" window. You can now exit the "Prefrences"
Aktualisierung der Vertrauensdienste
Um die Vertrauensdienste zu aktualisieren gehen Sie in Acrobat auf "Bearbeiten" → "Einstellungen" → "Vertrauensdienste".
Im Anschnitt "Automatische Updates für Adobe Approved Trust List (AATL)" muss das Häkchen bei "Vertrauenswürdige Zertifikate von einem Adobe AATL-Server laden" gesetzt sein. Klicken Sie auf "Jetzt aktualisieren".
Entfernen Sie anschließend das Häkchen bei "Vertrauenswürdige Zertifikate ... laden" wieder.
Anschließend wiederholen Sie den Vorgang im Abschnitt "Automatische Updates für European Union Trusted Lists (EUTL)". Hier können Sie das Häkchen anschließend gesetzt lassen.
To update the trust services, go to “Edit” → ‘Preferences’ → “Trust Services” in Acrobat.
In the “Automatic Updates for Adobe Approved Trust List (AATL)” section, the checkbox next to “Load trusted certificates from an Adobe AATL server” must be selected. Click on “Update Now.”
Then uncheck the box next to “Load trusted certificates...” again.
Next, repeat the process in the “Automatic Updates for European Union Trusted Lists (EUTL)” section. Here, you can leave the box checked.
HARICA-Wurzelzertifikat einbinden / import the HARICA root certificate
1. Laden Sie sich das Wurzelzertifikat herunter HARICA-Client-Root-2021-RSA.p7b
1. Download the root certificate HARICA-Client-Root-2021-RSA.p7b
2. Gehen Sie in den Adobe-Einstellungen auf die Kategorie Unterschriften. Klicken Sie dort im Bereich "Identitäten und vertrauenswürdige Zertifikate" auf Weitere...
2. Go to the Signatures category in the Adobe settings. In the ‘Identities and Trusted Certificates’ section, click on the More... button.
3. Wählen Sie im neuen Fenster in der linken Spalte Vertrauenswürdige Zertifikate aus (nicht "Digitale IDs"!).
3. In the new window, select Trusted Certificates in the left-hand column (not ‘Digital IDs’!).
4. Klicken Sie oben in der Leiste auf Importieren (blauer Pfeil nach links). Anschließend auf Durchsuchen.
4. Click on Import (blue arrow pointing left) in the bar at the top. Then click on Browse.
5. Wählen Sie die heruntergeladene Datei HARICA-Client-Root-2021-RSA aus und klicken Sie auf "Öffnen".
5. Select the downloaded file HARICA-Client-Root-2021-RSA and click ‘Open’.
6. Auf Vertrauenswürdigkeit klicken - und im sich nun öffnenden Fenster einen Haken bei "Dieses Zertifikat als vertrauenswürdigen Stamm verwenden" setzen und mit "OK" bestätigen. Klicken Sie im unteren Bereich des Fensters auf den Button Importieren. (Bestätigen Sie eventuelle Meldungen mit OK, bis die Fenster geschlossen sind.)
6. Click on "Vertrauenswürdikeit", and in the window that opens, check the box next to “Use this certificate as a trusted root” and confirm with “OK.”Click on the Import button at the bottom of the window. (Confirm any messages with OK until the windows are closed.)
Langfristig gültige digitale Signaturen einrichten / Set up long-term valid digital signatures
Die folgenden, wenigen Schritte sind optional. Sie ermöglichen jedoch das Einrichten einer LTV-fähigen Signatur.
Merkmale von LTV (Long-Term-Validation)-fähigen Signaturen
- Die Gültigkeit der Signatur bleibt langfristig bestehen, auch wenn beispielsweise das mit der Signatur in Verbindung stehende Nutzerzertifikat an einem Zeitpunkt abläuft oder widerrufen wird.
- Die LTV-fähige Signatur bezeugt, dass die Signatur mit einem gültigen Zertifikat erstellt und mit einem zeitlichen Siegel ausgestattet wurde. Die Validierungsdaten können somit auch in der Zukunft noch überprüft werden, obwohl eventuell benötigte Validierungsdienste nach der Erstellung der Unterschrift nicht mehr verfügbar sind. Ist dies nicht der Fall, dann wird die gesetzte digitale Signatur im Adobe Acrobat beim Empfänger der PDF als nicht LTV-fähig angezeigt.
- Zur Einrichtung einer LTV-fähigen Signatur müssen folgende Elemente eingebettet werden:
- Zertifikatskette des verwendeten Nutzerzertifikats (dadurch bleibt eine Signatur noch gültig, auch wenn das Nutzerzertifikat oder das Zertifikat des Ausstellers des Nutzerzertifikats abgelaufen ist)
- Widerrufsstatus
- Zeitangabe.
- Zertifikatskette des verwendeten Nutzerzertifikats (dadurch bleibt eine Signatur noch gültig, auch wenn das Nutzerzertifikat oder das Zertifikat des Ausstellers des Nutzerzertifikats abgelaufen ist)
- Die Unterschrift in der PDF wird als LTV-fähig angezeigt.
- Es ist zwar möglich, die erforderlichen Elemente im Nachhinein mit in die PDF hinzuzufügen, allerdings wird die Option mit "Keine Änderungen zulässig" beim Setzen der Unterschrift, was oftmals gewollt ist, deaktiviert.
The following few steps are optional. However, they enable you to set up an LTV-enabled signature.
Features of LTV (Long-Term Validation)-capable signatures
- The validity of the signature remains valid in the long term, even if, for example, the user certificate associated with the signature expires or is revoked at some point.
- The LTV-capable signature testifies that the signature was created with a valid certificate and provided with a time seal. The validation data can therefore still be checked in the future, even if any validation services required are no longer available after the signature has been created. If this is not the case, the set digital signature is displayed by Adobe Acrobat to the recipient of the PDF as not LTV-capable.
- The following elements must be embedded to set up an LTV-capable signature:
- Certificate chain of the user certificate used (this means that a signature remains valid even if the user certificate or the certificate of the issuer of the user certificate has expired)
- Revocation status
- Time specification.
- The signature in the PDF is displayed as LTV-enabled.
- Although it is possible to add the required elements to the PDF afterwards, the option with "No changes allowed", which is often desired, is deactivated when the signature is set.
Widerrufsstatus einer Signatur einschließen / Include revocation status of a signature
1. Öffnen Sie in der Navigationsleiste unter "Bearbeiten" die "Einstellungen"
1. (In the Adobe Reader) click on the hamburger Symbol "Menu" or in Adobe Acrobat Pro on "Edit" and then on "Preferences...“
2. Unter "Unterschriften" finden Sie "Erstellung und Erscheinungsbild", wo Sie auf "Weitere..." klicken
2. In the settings, click on the "Signatures" category and then on the "More..." button next to "Creation & Appearance"
3. An dieser Stelle sollte dann ein Haken bei "Widerrufsstatus der Unterschrift einschließen" gesetzt werden
3. Put a tick next to "Include signature's revocation status"
Manuelle Installation eines Zeitstempelservers / Manual installation of a timestamp server
Zeitangabe prüfen / Checking timestamps
Die Erstellung einer digitalen Signatur in Adobe ist immer mit einer Zeitangabe verbunden, die u. a. hilft festzustellen, ob das Dokument nach der Signierung verändert wurde. Automatisch wird standardmäßig bei der Erstellung einer Unterschrift nur die lokale Zeit am Rechner mit in die PDF eingebunden - sofern kein „Zeitstempel-Server“ eingerichtet wurde, um den Erstellungszeitpunkt zu beweisen. Damit allerdings der Empfänger der PDF die Signatur richtig validieren kann, muss der Empfänger, wenn der Ersteller keinen Zeitstempeldienst verwendet hat, die Unterschrift nach dem lokalen Erstellungszeitpunkt prüfen, welche in der Signatur enthalten ist. Dies ist standardmäßig in den Voreinstellungen für die Unterschriftsprüfung so eingestellt, muss aber gegebenenfalls umgestellt werden.
Um dem Empfänger eine Änderung der Voreinstellungen für die Unterschriftsprüfung zu ersparen und um zu gewährleisten, dass keine verfälschte Zeitangabe missbräuchlich zum Einsatz kommen kann, bietet der DFN-Verein einen Zeitstempel-Dienst an.
The creation of a digital signature in Adobe is always associated with a time specification, which helps to determine whether the document was changed after signing, among other things. By default, when a signature is created, only the local time on the computer is included in the PDF - unless a "timestamp server" has been set up to prove the time of creation. However, so that the recipient of the PDF can validate the signature correctly, the recipient must check the signature according to the local creation time contained in the signature if the creator has not used a timestamp service. This is set by default in the default settings for signature verification, but may need to be changed.
1. Öffnen Sie in der unter "Bearbeiten" die "Einstellungen"
1. (In the Adobe Reader) click on the hamburger Symbol "Menu" or in Adobe Acrobat Pro on "Edit" and then on "Preferences...“
2. Unter "Unterschriften" finden Sie "Zeitstempel für Dokumente", wo Sie auf "Weitere..." klicken
2. In the settings, click on the "Signatures" category and then on the "More..." button next to "Document Timestamping"
3. Unter "Uhrzeitstempelserver", klicken Sie im sich öffnenden Fenster auf "Neu", um einen Zeitstempelserver hinzuzufügen
3. Click on the "Time Stamp Servers" tab at the top left and click on the phone icon with the plus to add a "New Time Stamp Server"
4. Als Nächstes geben Sie nun einen Namen für den Zeitstempelserver an und bei "Server-URL", die URL des Zeitstempelservers des DFN-Vereins, welche unter "http://zeitstempel.dfn.de/" (Hinweis: der Aufruf dieser Adresse über den Browser ist nicht möglich) zu erreichen ist. Anschließend klicken Sie auf "OK"
4. In the now opened window enter the name for your Time Stamp Server and under "Server URL:" enter "http://zeitstempel.dfn.de/" – the URL of the timestamp server of DFN-Verein, which can be accessed throught the before given URL (note: it is not possible to access this address via the browser). Then click on "OK"
5. Zur Verwendung des neu hinzugefügten Zeitstempelservers vom DFN-Verein für Signaturen müssen Sie diesen als Standardserver einrichten. Wählen sie hierfür den angelegten Zeitstempelserver aus und klicken Sie auf "Standardeinstellung festlegen"
5. To use the newly added timestamp server from DFN-Verein for signatures, you must set it up as the default server. To do this, select the created timestamp server and click on "Set Default"
Digitale Unterschriften setzen / Set digital signatures
6. Zum Unterschreiben einer PDF müssen Sie jetzt auf den Tab "Werkzeuge" gehen und auf "Zertifikate" klicken. Dann werden Sie aufgefordert, die PDF zu öffnen, welche Sie unterschreiben möchten
6. To sign a PDF you must now go to Home view icon > "See all tools" > "Use a certificate". (In the Adobe Reader klick on "Select a file" and) you will then be asked to select and open the PDF you wish to sign.
7. Hier klicken Sie oben auf "Digital unterschreiben".
7. (In the Reader on the left, in Adobe Acrobat Pro at the top) click on "Digitally sign"
8. Eventuell kommt bei ihnen dann eine Meldung, die Sie lediglich darüber informiert, dass Sie nun einen Bereich zum Unterschreiben auswählen müssen
8. You may then receive a message that simply informs you that you must now select an area to sign
9. Um einen Bereich auszuwählen, können Sie einfach mit dem Mauszeiger ein Quadrat ziehen. Dort wird dann auch die Unterschrift sichtbar sein
9. To select an area, you can simply drag a square with the mouse pointer. The signature will then be visible there
10. Hier wählen Sie das Zertifikat aus, mit dem Sie unterschreiben wollen
10. Here you select the certificate you wish to sign with and click "Continue"
11. Um das Unterschreiben abzuschließen, müssen Sie jetzt nur noch unten links das Passwort des Zertifikats eingeben und dann auf "Unterschreiben" klicken.
Sicherheitshinweis
Beim Einfügen einer digitalen Signatur in einem PDF-Dokument wird der Inhalt des Dokuments vor Änderungen geschützt.
Allerdings sollte das Dokument zusätzlich explizit gesperrt werden, da ansonsten nachträgliche Anmerkungen, zusätzliche Unterschriften und gesetzte Formularfelder ausgefüllt werden können. Dies birgt die Gefahr, dass böswillig bestimmte Stellen in einem PDF-Dokument überdeckt bzw. manipuliert werden können. (Allerdings ist es möglich, sich den Orginalinhalt des Dokumentes, mit dem das Dokument signiert wurde, anzuschauen sowie die Details der Änderungen im "Unterschriftsfenster" anzeigen zu lassen.)
Sie sollten allerdings, wenn weitere Signaturen benötigt werden, Unterschriftsfelder vor dem Setzen der digitalen Signatur platzieren.
Will man sämtliche Änderungen von vorneherein am Dokument nach einer Signatur verweigern, kann beim "Digital Unterschreiben" in Adobe Acrobat durch das Setzen eines Hakens bei "Dokument nach dem Signieren sperren", das Dokument vollständig gesperrt werden.
Achtung: Sie müssen zwingend noch mindestens ein Wurzelzertifikat importieren, damit Sie Signaturen validieren können (auch Ihre eigene). Folgen Sie dazu dieser Anleitung: Ältere Wurzelzertifikate (Géant und T-TeleSec) einbinden
11. To finalise the signing process, you now only need to enter the password for the certificate at the bottom left and then click on "Sign"
Safety note
When inserting a digital signature in a PDF document, the content of the document is protected against changes.
Nevertheless, the document should also be explicitly locked, as otherwise subsequent comments, additional signatures and set form fields can be filled in. This harbours the risk that certain parts of a PDF document can be maliciously covered over or manipulated. (However, it is possible to view the original content of the document with which the document was signed and to display the details of the changes in the "signature window").
However, if additional signatures are required, you should place signature fields before setting the digital signature.
If you want to prevent all changes to the document after a signature from the outset, the document can be completely locked by ticking the "Lock document after signing" box in the "Digitally sign" function in Adobe Acrobat.
Attention: You must import at least one root certificate so that you can validate signatures (including your own). To do this, follow these instructions: Ältere Wurzelzertifikate (Géant und T-TeleSec) einbinden
Erkennen einer (LTV-fähigen) Signatur / Recognising an (LTV-capable) signature
Um zu prüfen, ob eine Signatur LTV-fähig ist, müssen Sie oben rechts auf das "Unterschriftenfenster" gehen, welches sich links öffnet
Klicken Sie auf den Pfeil, der sich links neben "Revision 1: Unterschrieben von [...]" befindet
Unter "Unterschrift ist gültig" sollte sich ein Stichpunkt mit "Unterschrift ist LTV-fähig" zeigen
To check whether a signature is LTV-capable, you must go to the "Signature window" at the top right, which opens on the left
Click on the arrow to the left of "Revision 1: Signed by [...]"
Under "Signature is valid" you should see a key point with "Signature is LTV-capable"