Einstellungen des Signature-Dienstes

Transportoptionen
Pfadüberprüfungsoptionen
Zeitstempelanbieter-Optionen
Zertifikatsperrlisten-Optionen
OCSP-Optionen (Online Certificate Status Protocol)
Fehlerbehandlungsoptionen für das Debugging

Der Signature-Dienst ( SignatureService ) ermöglicht Ihrem Unternehmen, die Sicherheit und Vertraulichkeit verteilter und empfangener Adobe PDF-Dokumente zu gewährleisten. Dieser Dienst verwendet digitale Signaturen und Zertifizierung, um sicherzustellen, dass Dokumente nicht geändert werden. Das Ändern eines Dokuments macht die Signatur ungültig. Da Sicherheitsfunktionen für das Dokument selbst aktiviert werden, bleibt das Dokument für seine gesamte Nutzungsdauer geschützt, so auch außerhalb der Firewall, wenn es offline heruntergeladen oder zurück an Ihr Unternehmen gesendet wird.

Folgende Einstellungen sind für den Signature-Dienst verfügbar: Weitere Informationen zur Konfiguration dieser Einstellungen finden Sie unter Diensteinstellungen konfigurieren .

Name Of The Remote HSM SPI Service:: Diese Option wird verwendet, wenn HSM auf einem Remote-Computer installiert ist. Legen Sie diese Option fest, wenn AEM Forms auf einem 64-Bit-Windows-Gerät installiert ist und Sie HSM-Geräte zum Signieren verwenden.
URL Of The Remote HSM Web Service:: Legen Sie diese Option fest, wenn AEM Forms auf einem 64-Bit-Windows-Gerät installiert ist und Sie HSM-Geräte zum Signieren verwenden.
Certification To Include Form Load Changes:: Wenn diese Option ausgewählt ist, wird zusätzlich zur XFA-Vorlage der XFA-Formularstatus zertifiziert. Beachten Sie, dass die Aktivierung dieser Option negative Auswirkungen auf die Leistung haben kann. Der Standardwert ist „true“.
Execute Document JavaScript scripts:: Gibt an, ob während Signaturvorgängen Dokument-JavaScript-Skripte ausgeführt werden. Der Standardwert ist „false“.
Process documents with Acrobat 9 compatibility:: Gibt an, ob die Acrobat 9-Kompatibilität aktiviert werden soll. Wenn diese Option ausgewählt wird, ist beispielsweise „Sichtbare Zertifizierung in dynamischen PDFs“ aktiviert. Der Standardwert ist „false“.
Embed Revocation Info While Signing:: Gibt an, ob beim Signieren des PDF-Dokuments Sperrinformationen eingebettet werden. Der Standardwert ist „false“.
Embed Revocation Info While Certifying:: Gibt an, ob die beim Zertifizieren des PDF-Dokuments Sperrinformationen eingebettet werden. Der Standardwert ist „false“.
Enforce Embedding of Revocation Info For All Certificates During Signing/Certification:: Gibt an, ob ein Signier- oder Zertifizierungsvorgang fehlschlägt, wenn nicht für alle Zertifikate gültige Sperrinformationen eingebettet sind. Beachten Sie, dass ein Zertifikat, das keine Zertifikatsperrlisten- oder Online-Zertifikatstatusprotokoll-Informationen enthält, als gültig angesehen wird, auch wenn keine Sperrinformationen abgerufen werden. Der Standardwert ist „false“.
Revocation Check Order:: Gibt die Reihenfolge der Sperrüberprüfungen an, wenn das Prüfen über die Mechanismen sowohl für Zertifikatsperrlisten als auch für das Online-Zertifikatstatusprotokoll (OCSP) möglich ist. Der Standardwert ist OCSPFirst .
Maximum Size of Revocation Archival Info:: Die maximale Größe der archivierten Sperrinformationen in KB. AEM Forms versucht, so viele Sperrinformationen wie möglich zu speichern, ohne diesen Grenzwert zu überschreiten. Der Standardwert ist 10 KB.
Support Signatures Created From PreRelease Builds Of Adobe Products:: Wenn diese Option aktiviert ist, wird eine Signatur, die mit einer Vorabversion von Adobe-Produkten erstellt wird, korrekt validiert. Der Standardwert ist „false“.
Verification Time Option:: Gibt die Zeit an, zu der das Zertifikat eines Signierers überprüft wurde. Der Standardwert ist Secure Time Else Current Time .
Use Revocation Information Archived in Signature during Validation:: Gibt an, ob die mit der Signatur archivierten Sperrinformationen für die Sperrüberprüfung verwendet werden. Der Standardwert ist „true“.
Use Validation Information Stored In The Document For Validation Of Signatures:: Wenn diese Option ausgewählt ist, werden die im Dokument eingebetteten Validierungsinformationen (einschließlich Sperr- und Zeitstempelinformationen) zum Validieren von Signaturen verwendet. Der Standardwert ist „true“.
Maximum Nested Verification Sessions Allowed:: Die maximal zulässige Anzahl geschachtelter Überprüfungssitzungen. AEM Forms verhindert mithilfe dieses Wertes die Entstehung einer Endlosschleife bei der Überprüfung der OCSP- bzw. Zertifikatsperrlisten-Signiererzertifikate, wenn das OCSP- bzw. Zertifikatsperrlistenzertifikat nicht ordnungsgemäß eingerichtet ist. Der Standardwert ist 10 .
Maximum Clock Skew for Verification:: Die maximale Zeit in Minuten, um die der Signierzeitpunkt nach dem Überprüfungszeitpunkt liegen darf. Wenn die Uhrzeitabweichung diesen Wert überschreitet, ist die Signatur nicht gültig. Der Standardwert ist 65 Minuten.
Certificate Lifetime Cache:: Die Gültigkeitsdauer eines Zertifikats, das online oder auf andere Weise in den Cache abgerufen wurde. Der Standardwert ist 1 Tag.

Transportoptionen

Proxy Host:: Die URL des Proxyhosts. Wird nur verwendet, wenn ein gültiger Wert angegeben ist. Kein Standardwert.
Proxy Port:: Der Proxyanschluss. Geben Sie eine gültige Anschlussnummer zwischen 0 und 65535 ein. Der Standardwert ist 80.
Proxy Login Username:: Der Benutzername für die Proxyanmeldung. Wird nur verwendet, wenn gültige Werte für den Proxyhost und den Proxyanschluss angegeben wurden. Kein Standardwert.
Proxy Login Password:: Das Kennwort für die Proxyanmeldung. Wird nur verwendet, wenn gültige Werte für den Proxyhost, den Proxyanschluss und den Benutzernamen für die Proxyanmeldung angegeben wurden. Kein Standardwert.
Maximum Download Limit:: Die maximal zulässige Datenmenge in MB, die pro Verbindung empfangen werden kann. Der Mindestwert ist 1 MB, der Höchstwert 1.024 MB. Der Standardwert ist 16 MB.
Connection Time Out:: Die maximale Wartezeit, in Sekunden, beim Aufbau einer neuen Verbindung. Der Mindestwert ist 1 , der Höchstwert 300 . Der Standardwert ist 5 .
Socket Time Out:: Die maximale Wartezeit, in Sekunden, bevor ein Sockettimeout (beim Warten auf eine Datenübertragung) auftritt. Der Mindestwert ist 1 , der Höchstwert 3600 . Der Standardwert ist 30 .

Pfadüberprüfungsoptionen

Explizite Richtlinie anfordern:: Gibt an, ob der Pfad für mindestens eine der Zertifikatrichtlinien gültig sein muss, die dem trustAnchor des Signiererzertifikats zugeordnet sind. Der Standardwert ist „false“.
ALLE Richtlinien unterdrücken:: Gibt an, ob die Richtlinien-OID verarbeitet werden soll, wenn sie in einem Zertifikat enthalten ist. Der Standardwert ist „false“.
Richtlinienzuordnung unterdrücken:: Gibt an, ob Richtlinienzuordnung im Zertifizierungspfad zulässig ist. Der Standardwert ist „false“.
Alle Pfade prüfen:: Gibt an, ob alle Pfade überprüft werden sollen oder ob die Überprüfung nach Finden des ersten gültigen Pfades beendet werden soll. Wählen Sie „true“ oder „false“ aus. Der Standardwert ist „false“.
LDAP-Server:: Der zum Suchen von Zertifikaten bei der Pfadüberprüfung verwendete LDAP-Server. Kein Standardwert.
URIs in Zertifikat-AIA folgen:: Gibt an, ob in einer Zertifikat-AIA enthaltene URIs (Uniform Resource Identifier) während der Pfaderkennung verarbeitet werden. Der Standardwert ist „false“.
In Zertifikaten der Zertifizierungsstelle (CA) ist eine grundlegende Einschränkungserweiterung erforderlich:: Gibt an, ob die grundlegende Einschränkungserweiterung für Zertifikate der Zertifizierungsstelle (CA) für CA-Zertifikate vorhanden sein muss. Einige frühere deutsche zertifizierte Stammzertifikate (7 und früher) sind nicht RFC 3280-konform und enthalten keine grundlegende Einschränkungserweiterung. Wenn bekannt ist, dass ein EE-Zertifikat eines Benutzers an einen solchen deutschen Stamm verkettet ist, deaktivieren Sie dieses Kontrollkästchen. Der Standardwert ist „true“.
Gültige Zertifikatsignatur während der Kettenbildung erforderlich:: Gibt an, ob der Kettengenerator gültige Signaturen für Zertifikate erfordert, aus denen Ketten erzeugt werden. Wenn dieses Kontrollkästchen aktiviert ist, erzeugt der Kettengenerator keine Ketten mit ungültigen RSA-Signaturen aus Zertifikaten. Betrachten Sie die Kette „CA > ICA > EE“, bei der die Signatur der Zertifizierungsstelle (CA) für eine ICA ungültig ist. Wenn diese Einstellung „true“ ist, wird die Kettenbildung an der ICA beendet und die CA wird nicht in die Kette aufgenommen. Ist sie dagegen „false“, wird die vollständige Kette aus 3 Zertifikaten erzeugt. Diese Einstellung hat keine Auswirkungen auf DSA-Signaturen. Der Standardwert ist „false“.

Zeitstempelanbieter-Optionen

TSP Server URL:: Die URL des Zeitstempel-Standardanbieters. Wird nur verwendet, wenn ein gültiger Wert angegeben ist. Kein Standardwert.
TSP Server Username:: Der Benutzername, wenn vom Zeitstempelanbieter angefordert. Wird nur verwendet, wenn ein gültiger Wert für die URL angegeben wurde. Kein Standardwert.
TSP Server Password:: Das Kennwort für den oben angegebenen Benutzernamen, wenn vom Zeitstempelanbieter angefordert. Wird nur verwendet, wenn gültige Werte für die URL und den Benutzernamen angegeben wurden. Kein Standardwert.
Request Hash Algorithm:: Gibt den Hash-Algorithmus an, der beim Erstellen der Anforderung für den Zeitstempelanbieter zu verwenden ist. Der Standardwert ist SHA1 .
Methode zur Prüfung von Sperren:: Gibt die Methode zur Prüfung von Sperren an, die zum Ermitteln des Vertrauensstatus für das Zertifikat des Zeitstempelanbieters aus dessen festgestelltem Sperrstatus verwendet wird. Der Standardwert ist BestEffort .
Nonce senden:: Gibt an, ob eine Nonce mit der Zeitstempelanbieter-Anforderung gesendet wird. Eine Nonce kann ein Zeitstempel, ein Besucherzähler auf einer Webseite oder eine spezielle Kennzeichnung zur Begrenzung oder Verhinderung der nicht autorisierten Wiedergabe oder Vervielfältigung einer Datei sein. Der Standardwert ist „true“.
Use Expired Timestamps During Validation:: Wenn diese Option aktiviert ist, können abgelaufene Zeitstempel verwendet werden, um die Validierungszeiten von Signaturen abzurufen. Der Standardwert ist „true“.
TSP Response Size:: Geschätzte Größe der TSP-Antwort in Byte. Dieser Wert muss der maximalen Größe der Zeitstempelantwort entsprechen, die vom konfigurierten Zeitstempelanbieter zurückgegeben werden kann. Ändern Sie diesen Wert nur, wenn Sie sich absolut sicher sind. Der Mindestwert ist „60B“, der Höchstwert 10240B . Der Standardwert ist 4096B .

Zertifikatsperrlisten-Optionen

Zuerst lokalen URI prüfen:: Gibt an, ob der unter „Lokaler URI für die Zertifikatsperrlisten-Suche“ angegebene Zertifikatsperrlisten-Speicherort beim Prüfen von Sperren Vorrang vor jedem in einem Zertifikat angegebenen Speicherort haben soll. Der Standardwert ist „false“.
Lokaler URI für die Zertifikatsperrlisten-Suche:: Die URL des lokalen Zertifikatsperrlisten-Anbieters. Dieser Wert wird nur verwendet, wenn der oben angegebene Parameter „Zuerst lokalen URI prüfen“ auf „true“ festgelegt ist. Kein Standardwert.
Methode zur Prüfung von Sperren:: Gibt die Methode zur Prüfung von Sperren an, die zum Ermitteln des Vertrauensstatus für das Zertifikat des Zertifikatsperrlisten-Anbieters aus dessen festgestelltem Sperrstatus verwendet wird. Der Standardwert ist BestEffort .
LDAP-Server für die Zertifikatsperrlisten-Suche:: Der zum Abrufen der Zertifikatsperrlisten verwendete LDAP-Server (z. B. www.ldap.com). Alle DN-basierten Abfragen nach Zertifikatsperrlisten werden an diesen Server gerichtet. Kein Standardwert.
Online gehen:: Gibt an, ob zum Abrufen einer Zertifikatsperrliste online gegangen werden soll. Bei der Einstellung „false“ werden nur zwischengespeicherte Zertifikatsperrlisten (auf dem lokalen Datenträger oder solche mit eingebetteter Signatur) herangezogen. Der Standardwert ist „true“.
Gültigkeitsdaten ignorieren:: Gibt an, ob die Uhrzeiten „thisUpdate“ und „nextUpdate“ der Antwort ignoriert werden sollen, um so jegliche negative Auswirkung dieser Uhrzeiten auf die Gültigkeit der Antwort zu verhindern. Der Standardwert ist „false“.
AKI-Erweiterung in Zertifikatsperrliste anfordern:: Gibt an, ob die AKI-Erweiterung (Authority Key Identifier) in einer Zertifikatsperrliste vorhanden sein muss. Der Standardwert ist „false“.

OCSP-Optionen (Online Certificate Status Protocol)

URL für den Online-Zertifikatstatusprotokoll-Server:: Die URL für den OCSP-Standardserver. Ob der über diese URL angegebene OCSP-Server verwendet wird, hängt von der Einstellung der „Zu verwendender URL“-Option ab. Kein Standardwert.
„Zu verwendender URL“-Option:: Steuert die Liste und Reihenfolge der OCSP-Server, die zum Durchführen der Statusprüfung verwendet werden. Der Standardwert ist UseAlAlnCert .
Methode zur Prüfung von Sperren:: Gibt die Methode zur Prüfung von Sperren an, die zum Überprüfen des Zertifikats für den OCSP-Server verwendet wird. Der Standardwert ist CheckIfAvailable .
Nonce senden:: Gibt an, ob eine Nonce mit der OCSP-Anforderung gesendet wird. Eine Nonce kann ein Zeitstempel, ein Besucherzähler auf einer Webseite oder eine spezielle Kennzeichnung zur Begrenzung oder Verhinderung der nicht autorisierten Wiedergabe oder Vervielfältigung einer Datei sein. Der Standardwert ist „true“.
Max. Uhrzeitabweichung (Minuten):: Maximal zulässige Abweichung in Minuten zwischen der Antwortzeit und der lokalen Zeit. Der Mindestwert ist 0 , der Höchstwert 2147483647m . Der Standardwert ist 5m .
Antwortaktualitätszeit (Minuten):: Die maximale Zeit, in Minuten, für die eine zuvor erzeugte OCSP-Antwort als gültig gilt. Der Mindestwert ist 1m , der maximal zulässige Höchstwert 2147483647 . Der Standardwert ist 525600 (ein Jahr).
Online-Zertifikatstatusprotokoll-Anforderung signieren:: Gibt an, ob die OCSP-Anforderung signiert sein muss. Der Standardwert ist „false“.
Berechtigungsalias des Signierers anfordern:: Gibt den Berechtigungsalias an, der zum Signieren der OCSP-Anforderung verwendet werden soll, wenn die Signierung aktiviert ist. Wird nur verwendet, wenn das Signieren von OCSP-Anforderungen aktiviert ist. Kein Standardwert.
Online gehen:: Gibt an, ob für die Sperrüberprüfung online gegangen werden soll. Der Standardwert ist „true“.
Ignore the response’s thisUpdate and thatUpdate times:: Gibt an, ob die Uhrzeiten „thisUpdate“ und „nextUpdate“ der Antwort ignoriert werden sollen, um so jegliche negative Auswirkung dieser Uhrzeiten auf die Gültigkeit der Antwort zu verhindern. Der Standardwert ist „false“.
OCSP-Erweiterung „NoCheck“ zulassen:: Gibt an, ob die Erweiterung „OCSPNoCheck“ im Signierzertifikat der Antwort zulässig ist. Der Standardwert ist „true“.
OCSP ISIS-MTT-Erweiterung „CertHash“ anfordern:: Gibt an, ob eine Zertifikat-Hash-Erweiterung mit öffentlichem Schlüssel in OCSP-Antworten () enthalten sein muss. Der Standardwert ist „false“.

Fehlerbehandlungsoptionen für das Debugging

Purge Certificate Cache on next API call:: Gibt an, ob der Zertifikatcache beim Aufruf des nächsten Signature-Dienstvorgangs bereinigt werden soll. Im Anschluss an den Aufruf des Vorgangs wird die Option wieder auf „false“ festgelegt. Der Standardwert ist „false“.
Purge CRL Cache on next API call:: Gibt an, ob der Zertifikatsperrlisten-Cache beim Aufruf des nächsten Signature-Dienstvorgangs bereinigt werden soll. Im Anschluss an den Aufruf des Vorgangs wird die Option wieder auf „false“ festgelegt. Der Standardwert ist „false“.
Purge OCSP Cache on next API call:: Gibt an, ob der Online-Zertifikatstatusprotokoll-Cache beim Aufruf des nächsten Signature-Dienstvorgangs bereinigt werden soll. Im Anschluss an den Aufruf des Vorgangs wird die Option wieder auf „false“ festgelegt. Der Standardwert ist „false“.