Verify PDF Signature 操作

署名フィールド内の署名を検証し、署名に関する情報を返します。検証には、署名されたコンテンツおよび署名者の ID が含まれています。検証後、ドキュメントの署名時間が未来の時間であったことを示すエラーが発生します。このエラーが発生するのは、検証中の署名が適用されてから 65 分以上経過しているからです。この設定は、管理コンソールから変更できます。(『 アプリケーションおよびサービスの管理ヘルプ 』を参照)。使用される信頼設定は、Trust Store で設定されます。署名者の ID は、検証前に Trust Store に追加する必要があります(『 Trust Store 管理ヘルプ 』を参照)。

例えば、アプリケーションで、PDF ドキュメントに署名したユーザーの ID と信頼チェーンを検証する必要があるとします。Verify PDF Signature 操作を使用すると、署名者の ID と信頼チェーンを検証できます。

General プロパティグループと Route Evaluation プロパティグループについて詳しくは、 共通の操作プロパティ を参照してください。

共通のプロパティ

入力 PDF ドキュメントと検証情報を指定するプロパティです。

Input PDF

検証する署名が含まれている PDF ドキュメントを表す 文書 値です。

リテラル値を指定する場合は、省略記号ボタンをクリックして、Select Asset ダイアログボックスを開きます( Select Asset について を参照)。

署名済み署名フィールドを含む PDF ドキュメントを指定すると、Signature Field Name プロパティがリストとして設定されます。このリストには、PDF ドキュメント内の署名済み署名フィールドの完全修飾名が含まれます。

Signature Field Name

検証する署名が含まれている署名フィールドの名前を表す string 値です。署名フィールドの完全修飾名を使用します。Designer で作成されたフォームに基づく PDF ドキュメントを使用する場合は、署名フィールドの名前の一部を使用できます。例えば、 form1[0].#subform[1].SignatureField3[3] SignatureField3[3] として指定できます。

Signature Field Name プロパティにリテラル値を指定し、Input PDF プロパティでリテラル値が指定されている場合、リストが表示されます。完全修飾名のリストから値を 1 つ選択します。各完全修飾名は、指定された PDF ドキュメントの署名済み署名フィールドを表します。

PKI Options プロパティ

PDF ドキュメントを検証するための失効確認スタイル、検証時刻、パス検証、タイムスタンプ、証明書失効リストおよびオンライン証明書ステータスプロトコルの設定を指定するプロパティです。

Revocation Check Style

監視失効ステータスから CRL プロバイダーの証明書の信頼ステータスを確認するために使用する失効確認スタイルを指定する RevocationCheckStyle 値です。

リテラル値を指定する場合、次のいずれかの値を選択します。

NoCheck:
失効を確認しません。

BestEffort:
可能であれば、すべての証明書の失効を確認します。

CheckIfAvailable:
(デフォルト)失効情報が利用できる場合にのみ、すべての証明書の失効を確認します。

AlwaysCheck:
すべての証明書の失効を確認します。

検証時刻

(オプション)使用する検証時刻を指定する VerificationTime 値です。デフォルト値は Secure Time Else Current Time です。

リテラル値を指定する場合、次のいずれかの値を選択します。

Signing Time:
署名者のコンピューターで署名が適用された時間

Current Time:
検証操作が実行されている時間

Secure Time Else Current Time:
信頼できるタイムスタンプ機関によって指定された時間

「Secure Time Else Current Time」を指定し、検証によって信頼できるタイムスタンプで不明のステータスが返される場合、検証は「Current Time」を使用して確認されます。

OCSP Options Spec

(オプション)オンライン証明書ステータスプロトコル(OCSP)の失効確認を使用するための設定を表す OCSPOptionSpec 値です。リテラル値を指定するには、次のオプションを指定します。

URL to Consult Option: 失効確認の実行に使用する OCSP サーバーのリストと順序を設定します。次のいずれかの値を選択します。

UseAIAInCert:
(デフォルト)証明書の Authority Information Access(AIA)拡張で指定されたオンライン証明書ステータスプロトコルサーバーの URL を使用します。AIA 拡張は、証明書の発行者用の認証局(CA)情報とサービスにアクセスする方法を特定するために使用します。

LocalURL:
「OCSP Server URL」オプションで指定された OCSP サーバーの指定済み URL を使用します。

UseAIAIfPresentElseLocal:
証明書(存在する場合)の AIA 拡張で指定された OCSP サーバーの URL を使用します。証明書に AIA 拡張が存在しない場合は、「OCSP Server URL」で設定された URL を使用します。

UseAIAInSignerCert:
署名者の証明書の OCSP 要求の AIA 拡張で指定された OCSP サーバーの URL を使用します。
OCSP Server URL:
設定済みの OCSP サーバーの URL を設定します。値は、LocalURL または UseAIAIfPresentElseLocal の値が「URL To Consult Option」にある場合にのみ使用されます。

Revocation Check Style:
監視失効ステータスから CRL プロバイダーの証明書の信頼ステータスを確認するために使用する失効確認スタイルを設定します。次のいずれかの値を選択します。

設定済みの OCSP サーバーの URL を設定します。値は、LocalURL または UseAIAIfPresentElseLocal の値が「URL To Consult Option」にある場合にのみ使用されます。

Revocation Check Style:

監視失効ステータスから CRL プロバイダーの証明書の信頼ステータスを確認するために使用する失効確認スタイルを設定します。次のいずれかの値を選択します。

NoCheck:
失効を確認しません。

BestEffort:
可能であれば、すべての証明書の失効を確認します。

CheckIfAvailable:
(デフォルト)失効情報が利用できる場合にのみ、すべての証明書の失効を確認します。

AlwaysCheck:
すべての証明書の失効を確認します。
Max Clock Skew Time (Minutes):
応答時刻とローカル時刻の間の最大許容 Skew(分単位)を設定します。有効な Skew 時間は 0 2147483647 分です。デフォルト値は 5 分です。

Response Freshness Time (Minutes):
事前に生成された OCSP 応答が有効であると見なされるための最長時間(分単位)を設定します。有効な応答有効時間は 1 2147483647 分です。デフォルト値は 525600 分(1 年)です。

Send Nonce:
このオプションは、OCSP 要求で nonce を送信する場合に選択します。 nonce は、時間によって変化するパラメーターです。これらのパラメーターには、タイムスタンプ、Web ページ訪問カウンターまたは特別なマーカーを使用できます。このパラメーターは、ファイルの不正な再生や複製を制限または防止するためのものです。このオプションの選択を解除すると、nonce は要求で送信されません。デフォルトでは、このオプションは選択されています。

Sign OCSP Request:
このオプションは、OCSP 要求に署名が必要であることを指定する場合に選択します。このオプションの選択を解除した場合、OCSP 要求に署名は必要ありません。デフォルトでは、このオプションは選択されていません。

Request Signer Credential Alias:
署名が有効な場合に OCSP 要求への署名に使用する秘密鍵証明書エイリアスを設定します。

Go Online for OCSP:
このオプションは、ネットワークにアクセスして OCSP 情報を取得する場合に選択します。ネットワークにアクセスして、OCSP チェックのための OCSP 情報を取得できます。OCSP チェックから発生するネットワークトラフィックの量を減らすため、AEM forms サーバーは、可能であれば、埋め込まれたか、またはキャッシュされた OCSP 情報を使用します。このオプションの選択を解除すると、OCSP チェックはネットワークから取得されず、埋め込まれた OCSP 情報およびキャッシュされた OCSP 情報のみが使用されます。デフォルトでは、このオプションは選択されています。

Ignore Validity Dates:
このオプションは、OCSP 応答の thisUpdate および nextUpdate の時間を使用する場合に選択します。これらの応答時間を無視すると、応答の有効性に悪影響が出るのを防ぐことができます。thisUpdate および nextUpdate の時間は、HTTP または LDAP を使用して外部ソースから取得され、失効情報ごとに異なる場合があります。このオプションの選択を解除すると、thisUpdate および nextUpdate の時間は無視されます。デフォルトでは、このオプションは選択されていません。

Allow OCSP NoCheck Extension:
このオプションは、応答署名証明書で OCSPNoCheck 拡張を許可する場合に選択します。OCSPNoCheck 拡張は、OCSP レスポンダの証明書に含めて、検証プロセスで無限ループが発生しないようにすることができます。このオプションの選択を解除すると、OCSPNoCheck 拡張は使用されません。デフォルトでは、このオプションは選択されています。

Require OCSP ISIS-MTT CertHash Extension:
このオプションは、証明書の公開鍵ハッシュ(CertHash)拡張が OCSP 応答に必要であることを指定する場合に選択します。この拡張は、SigQ 検証に必要です。SigQ への準拠には、OCSP レスポンダの証明書に CertHash 拡張が必要です。このオプションは、SigQ への準拠とサポートされている OCSP レスポンダの処理時に選択します。このオプションの選択を解除した場合、OCSP 応答に CertHash 拡張は必要ありません。デフォルトでは、このオプションは選択されていません。

応答時刻とローカル時刻の間の最大許容 Skew(分単位)を設定します。有効な Skew 時間は 0 2147483647 分です。デフォルト値は 5 分です。

Response Freshness Time (Minutes):

事前に生成された OCSP 応答が有効であると見なされるための最長時間(分単位)を設定します。有効な応答有効時間は 1 2147483647 分です。デフォルト値は 525600 分(1 年)です。

Send Nonce:

このオプションは、OCSP 要求で nonce を送信する場合に選択します。 nonce は、時間によって変化するパラメーターです。これらのパラメーターには、タイムスタンプ、Web ページ訪問カウンターまたは特別なマーカーを使用できます。このパラメーターは、ファイルの不正な再生や複製を制限または防止するためのものです。このオプションの選択を解除すると、nonce は要求で送信されません。デフォルトでは、このオプションは選択されています。

Sign OCSP Request:

このオプションは、OCSP 要求に署名が必要であることを指定する場合に選択します。このオプションの選択を解除した場合、OCSP 要求に署名は必要ありません。デフォルトでは、このオプションは選択されていません。

Request Signer Credential Alias:

署名が有効な場合に OCSP 要求への署名に使用する秘密鍵証明書エイリアスを設定します。

Go Online for OCSP:

このオプションは、ネットワークにアクセスして OCSP 情報を取得する場合に選択します。ネットワークにアクセスして、OCSP チェックのための OCSP 情報を取得できます。OCSP チェックから発生するネットワークトラフィックの量を減らすため、AEM forms サーバーは、可能であれば、埋め込まれたか、またはキャッシュされた OCSP 情報を使用します。このオプションの選択を解除すると、OCSP チェックはネットワークから取得されず、埋め込まれた OCSP 情報およびキャッシュされた OCSP 情報のみが使用されます。デフォルトでは、このオプションは選択されています。

Ignore Validity Dates:

このオプションは、OCSP 応答の thisUpdate および nextUpdate の時間を使用する場合に選択します。これらの応答時間を無視すると、応答の有効性に悪影響が出るのを防ぐことができます。thisUpdate および nextUpdate の時間は、HTTP または LDAP を使用して外部ソースから取得され、失効情報ごとに異なる場合があります。このオプションの選択を解除すると、thisUpdate および nextUpdate の時間は無視されます。デフォルトでは、このオプションは選択されていません。

Allow OCSP NoCheck Extension:

このオプションは、応答署名証明書で OCSPNoCheck 拡張を許可する場合に選択します。OCSPNoCheck 拡張は、OCSP レスポンダの証明書に含めて、検証プロセスで無限ループが発生しないようにすることができます。このオプションの選択を解除すると、OCSPNoCheck 拡張は使用されません。デフォルトでは、このオプションは選択されています。

Require OCSP ISIS-MTT CertHash Extension:

このオプションは、証明書の公開鍵ハッシュ(CertHash)拡張が OCSP 応答に必要であることを指定する場合に選択します。この拡張は、SigQ 検証に必要です。SigQ への準拠には、OCSP レスポンダの証明書に CertHash 拡張が必要です。このオプションは、SigQ への準拠とサポートされている OCSP レスポンダの処理時に選択します。このオプションの選択を解除した場合、OCSP 応答に CertHash 拡張は必要ありません。デフォルトでは、このオプションは選択されていません。

CRL Options Spec

(オプション)証明書失効リスト(CRL)が失効確認の実行に使用される場合に、CRL の環境設定を表す CRLOptionSpec 値です。リテラル値を指定する場合は、次のオプションを指定します。

Consult Local URI First:
このオプションは、証明書内で指定されている場所の前に、ローカル URI として指定された CRL の場所を使用する場合に選択します。指定された CRL の場所が失効確認に使用されます。このオプションを選択すると、まずローカル URI が使用されます。このオプションの選択を解除すると、ローカル URI を使用する前に証明書で指定されている場所が使用されます。デフォルトでは、このオプションは選択されていません。

Local URI for CRL Lookup:
ローカル CRL ストアの URL を設定します。この値は、「Consult Local URI First」オプションが選択されている場合にのみ使用されます。デフォルト値はありません。

Revocation Check Style:
監視失効ステータスから CRL プロバイダーの証明書の信頼ステータスを確認するために使用する失効確認スタイルを設定します。次のいずれかの値を選択します。
  • NoCheck: 失効を確認しません。

  • BestEffort: (デフォルト)可能であれば、すべての証明書の失効を確認します。

  • CheckIfAvailable: 失効情報が利用できる場合にのみ、すべての証明書の失効を確認します。

  • AlwaysCheck: すべての証明書の失効を確認します。

LDAP Server:
証明書失効リスト(CRL)に関する情報の取得に使用する Lightweight Directory Access Protocol(LDAP)サーバーの URL またはパスを設定します。LDAP サーバーは、 RFC 3280 の第 4.2.1.14 節で指定された規則に従い、識別名(DN)を使用して CRL 情報を検索します。例えば、URL に www.ldap.com を入力するか、パスとポートに ldap://ssl.ldap.com:200 を入力できます。デフォルト値はありません。

Go Online for CRL Retrieval:
このオプションは、ネットワークにアクセスして CRL 情報を取得する場合に選択します。CRL 情報は、ネットワークパフォーマンスを向上させるためにサーバーにキャッシュされます。CRL 情報は、必要な場合にのみ、オンラインで取得されます。このオプションの選択を解除すると、CRL 情報はオンラインで取得されません。デフォルトでは、このオプションは選択されています。

Ignore Validity Dates:
このオプションは、thisUpdate および nextUpdate の時間を使用する場合に選択します。応答の thisUpdate および nextUpdate の時間を無視すると、応答の有効性に悪影響が出るのを防ぐことができます。thisUpdate および nextUpdate の時間は、HTTP または LDAP を使用して外部ソースから取得され、失効情報ごとに異なる場合があります。このオプションの選択を解除すると、thisUpdate および nextUpdate の時間は無視されます。デフォルトでは、このオプションは選択されていません。

Require AKI Extension in CRL:
このオプションは、認証機関キー識別子(AKI)拡張が CRL に必要であることを指定する場合に選択します。AKI 拡張は、CRL の検証に使用できます。このオプションの選択を解除した場合、CRL に AKI 拡張は必要ありません。デフォルトでは、このオプションは選択されていません。

Path Validation Options Spec

(オプション)RFC3280 関連のパス検証オプションを制御する設定を表す PathValidationOptionSpec です。例えば、証明書パスでポリシーマッピングを許可するかどうかを指定できます( RFC 3280 を参照)。リテラル値を指定する場合は、次のオプションを設定できます。

Require Explicit Policy:
このオプションは、ユーザーの初期ポリシーセットにおける、少なくとも 1 つの証明書ポリシーについて、パスが有効である必要があることを指定する場合に選択します。このオプションの選択を解除した場合、パスを有効にする必要はありません。デフォルトでは、このオプションは選択されていません。

Inhibit Any Policy:
このオプションは、ポリシーオブジェクト識別子(OID)が証明書に含まれる場合にそれを処理する必要があることを指定する場合に選択します。選択を解除すると、任意のポリシーを選択できます。デフォルトでは、このオプションは選択されていません。

Check All Paths:
このオプションは、トラストアンカーへのすべてのパスを検証する必要がある場合に選択します。このオプションの選択を解除すると、トラストアンカーへのすべてのパスは検証されません。デフォルトでは、このオプションは選択されていません。

Inhibit Policy Mapping:
このオプションは、証明書パスでポリシーマッピングを許可する場合に選択します。このオプションの選択を解除すると、ポリシーマッピングは証明書パスで許可されません。デフォルトでは、このオプションは選択されていません。

LDAP Server:
証明書失効リスト(CRL)に関する情報の取得に使用する Lightweight Directory Access Protocol(LDAP)サーバーの URL またはパスを設定します。LDAP サーバーは、 RFC 3280 の第 4.2.1.14 節で指定された規則に従い、識別名(DN)を使用して CRL 情報を検索します。例えば、URL に www.ldap.com を入力するか、パスとポートに ldap://ssl.ldap.com:200 を入力できます。デフォルト値はありません。

Follow URIs in Certificate AIA:
このオプションは、パス検出に証明書の Authority Information Access(AIA)拡張で指定された URI を使用するように指定する場合に選択します。AIA 拡張では、最新の証明書を検索する場所を指定します。このオプションの選択を解除した場合、証明書の AIA 拡張で URI が処理されません。デフォルトでは、このオプションは選択されていません。

Basic Constraints Extension Required in CA Certificates:
このオプションは、認証局(CA)の基本制約証明書拡張が CA の証明書に必要であることを指定する場合に選択します。初期のドイツ語のルート証明書の一部(7 以前)は、 RFC 3280 に準拠していないので、基本制約拡張が含まれていません。該当するドイツ語ルートに連結した EE 証明書を持つユーザーが存在することがわかっている場合は、このオプションの選択を解除します。このオプションの選択を解除した場合、CA の証明書に CA の基本制約証明書は必要ありません。デフォルトでは、この値は選択されています。

Require Valid Certificate Signature During Chain Building:
このオプションは、チェーンの構築前に証明書のすべての Digital Signature Algorithm(DSA)署名が有効である必要がある場合に選択します。例えば、チェーン CA > ICA > EE で、EE の署名が無効な場合、チェーン構築は ICA で停止します。EE はチェーンに含まれません。このオプションの選択を解除すると、無効な DSA 署名が見つかったかどうかに関係なく、チェーン全体が構築されます。デフォルトでは、このオプションは選択されていません。

TSP Options Spec

認証署名に適用されるタイムスタンプ情報を定義する設定を表す TSPOptionSpec 値です。 TSPOptionSpec 値から使用されるオプションは、Revocation Check Style( tspRevocationCheckStyle データ項目)のみです。

リテラル値を指定する場合は、次のオプションを指定します。

Revocation Check Style:
監視失効ステータスから CRL プロバイダーの証明書の信頼ステータスを確認するために使用する失効確認スタイルを指定するリストです。次のいずれかの値を選択します。
NoCheck:
失効を確認しません。

BestEffort:
(デフォルト)可能であれば、すべての証明書の失効を確認します。

CheckIfAvailable:
失効情報が利用できる場合にのみ、すべての証明書の失効を確認します。

AlwaysCheck:
すべての証明書の失効を確認します。

期限切れのタイムスタンプを使用:
このオプションは、証明書の検証時に有効期限切れのタイムスタンプを使用する場合に選択します。このオプションの選択を解除すると、有効期限切れのタイムスタンプは使用されません。デフォルトでは、このオプションが選択されています。

SPI Options プロパティ

PDF 署名を検証するためにカスタム SPI に渡す名前とプロパティを指定するプロパティです。例えば、カスタム署名ハンドラーを使用します。カスタム署名ハンドラーでは、AEM forms Trust Store の代わりにネットワークを介してアクセスできる場所に格納されたセキュリティ証明書を参照できます。カスタムサービスプロバイダーの作成方法について、詳しくは『 AEM forms のプログラミング 』を参照してください。

Name of SPI Service

(オプション)SPI の名前を指定する string 値です。

Properties Map To Be Passed To SPI

(オプション)証明書を検証するために SPI に渡すプロパティを指定する string 値の map です。

リテラル値を指定する場合は、省略記号ボタン をクリックして、SPI プロパティのダイアログボックスを開きます( SPI のプロパティ を参照)。

選択したファイルには、プロパティと値のペアが含まれている必要があります。プロパティと値の各ペアは、 [property name]=[value] の形式にする必要があります。 [property name] はプロパティの名前、 [value] はプロパティに割り当てられた値です。SPI のデザインによって、使用されるプロパティと値のペアが決まります。

Output プロパティ

検証結果を指定するプロパティです。

PDF Signature Verification Result

署名とその検証ステータスに関する情報が格納されるプロセスデータモデル内の場所です。データ型は PDFSignatureVerificationInfo です。