Signature サービスの設定

Signature サービス(SignatureService)を使用して、組織は配布および受信する PDF ドキュメントのセキュリティとプライバシーを保護できます。このサービスでは、電子署名と認証を使用して、ドキュメントが変更されないようにします。ドキュメントが変更されると、署名が破損します。セキュリティ機能がドキュメント自体に適用されるので、ドキュメントは、ファイアウォールの外でやり取りされるときでも、オフラインでダウンロードされるときでも、組織に返送されるときでも、そのライフサイクル全体でセキュリティ保護され、管理されます。

Signature サービスについて詳しくは、『サービスリファレンス』を参照してください。

Signature サービスでは、以下の設定を使用できます。

Name Of The Remote HSM SPI Service:
リモートコンピューターに HSM がインストールされている場合に、このオプションを使用できます。LiveCycle が 64 ビット Windows にインストールされていて、署名に HSM デバイスを使用する場合は、このオプションを指定します。

URL Of The Remote HSM Web Service:
LiveCycle が 64 ビット Windows にインストールされていて、署名に HSM デバイスを使用する場合は、このオプションを指定します。

Certification To Include Form Load Changes:
このオプションを選択すると、XFA テンプレートに加えて XFA フォームの状態が認証されます。このオプションを有効にすると、パフォーマンスに悪影響を及ぼす可能性があります。デフォルト値は true です。

Execute Document JavaScript scripts:
署名操作中に Document JavaScript スクリプトを実行するかどうかを指定します。デフォルト値は false です。

Process documents with Acrobat 9 compatibility:
Acrobat 9 の互換性を有効にするかどうかを指定します。例えば、このオプションを選択すると、「Visible Certification in Dynamic PDFs」が有効になります。デフォルト値は false です。

Embed Revocation Info While Signing:
PDF ドキュメントへの署名時に失効情報を埋め込むかどうかを指定します。デフォルト値は false です。

Embed Revocation Info While Certifying:
PDF ドキュメントの認証時に失効情報を埋め込むかどうかを指定します。デフォルト値は false です。

Enforce Embedding of Revocation Info For All Certificates During Signing/Certification:
すべての証明書の有効な失効情報が埋め込まれていない場合、署名または認証操作が失敗するかどうかを指定します。証明書に CRL または OCSP 情報が含まれていない場合、失効情報が取得されなくても、証明書は有効と見なされることにご留意ください。デフォルト値は false です。

Revocation Check Order:
証明書失効リスト(CRL)とオンライン証明書ステータスプロトコル(OCSP)の両方のメカニズムを使用して確認できる場合に、失効確認の順序を指定します。デフォルト値は「OCSPFirst」です。

Maximum Size Of Revocation Archival Info:
失効アーカイブ情報の最大サイズをキロバイト単位で指定します。LiveCycle では、制限を超えない範囲で、できるだけ多くの失効情報が格納されます。デフォルト値は「10 KB」です。

Support Signatures Created From PreRelease Builds Of Adobe Products:
このオプションを選択すると、アドビ製品のプレリリースバージョンを使用して作成された署名が正しく検証されます。デフォルト値は false です。

Verification Time Option:
署名者の証明書を検証する時間を指定します。デフォルト値は「Secure Time Else Current Time」です。

Use Revocation Information Archived in Signature during Validation:
署名付きでアーカイブされている失効情報を失効確認に使用するかどうかを指定します。デフォルト値は true です。

Use Validation Information Stored In The Document For Validation Of Signatures:
このオプションを選択すると、ドキュメントに埋め込まれた検証情報(失効情報やタイムスタンプ情報を含む)を使用して署名が検証されます。デフォルト値は true です。

Maximum Nested Verification Sessions Allowed:
ネスト可能な検証セッションの最大数です。LiveCycle では、この値を使用して、OCSP または CRL の証明書が正確に設定されていない状態で OCSP または CRL 署名者の証明書を検証する際に無限ループが発生しないようにします。デフォルト値は 5 です。

Maximum Clock Skew for Verification:
検証時間から署名時間までの最長の時間を分単位で指定します。Clock Skew がこの値より大きい場合、署名は無効になります。デフォルト値は「65」分です。

Certificate Lifetime Cache:
オンラインまたはその他の方法で取得した、証明書がキャッシュに存続する時間。デフォルト値は「1」日です。

トランスポートオプション

Proxy Host:
プロキシホストの URL です。値が有効な場合のみ使用されます。デフォルト値はありません。

Proxy Port:
プロキシポートです。0~65535 の範囲で有効なポート番号を入力します。デフォルト値は 80 です。

Proxy Login Username:
プロキシのログインユーザー名です。プロキシホストとプロキシポートの値が有効な場合のみ使用されます。デフォルト値はありません。

Proxy Login Password:
プロキシのログインパスワードです。プロキシホスト、プロキシポート、プロキシのログインユーザー名の値が有効な場合のみ使用されます。デフォルト値はありません。

Maximum Download Limit:
1 回の接続で受信可能なデータの最大量を MB 単位で指定します。最小値は 1 MB、最大値は 1024 MB です。デフォルト値は「16」MB です。

Connection Time Out:
新しい接続が確立されるまでの最大待機時間(秒単位)です。最小値は「1」、最大値は「300」です。デフォルト値は 5 です。

Socket Time Out:
データの転送を待っているソケットがタイムアウトになるまでの最大待機時間(秒単位)です。最小値は「1」、最大値は「3600」です。デフォルト値は 30 です。

パス検証オプション

Require Explicit Policy:
署名者の証明書のトラストアンカーに関連する少なくとも 1 つの証明書ポリシーについてパスが有効である必要があるかどうかを指定します。デフォルト値は false です。

Inhibit ANY Policy:
ポリシーオブジェクト識別子(OID)が証明書に含まれる場合にそれを処理するかどうかを指定します。デフォルト値は false です。

Inhibit Policy Mapping:
証明書パスでポリシーマッピングを許可するかどうかを指定します。デフォルト値は false です。

Check All Paths:
すべてのパスを検証するか、または最初の有効なパスが見つかったら検証を停止するかどうかを指定します。「true」または「false」を選択します。デフォルト値は false です。

LDAP Server:
パス検証用の証明書の検索に使用する LDAP サーバーです。デフォルト値はありません。

Follow URIs in Certificate AIA:
証明書の AIA の Uniform Resource Identifier(URI)をパス検索中に処理するかどうかを指定します。デフォルト値は false です。

Basic Constraints Extension required in CA Certificates:
認証局(CA)の基本制約証明書拡張が CA の証明書に必要かどうかを指定します。初期のドイツ語のルート証明書の一部(7 以前)は、RFC 3280 に準拠していないので、基本制約拡張が含まれていません。該当するドイツ語ルートに連結した EE 証明書を持つユーザーが存在することがわかっている場合は、このチェックボックスの選択を解除します。デフォルト値は true です。

Require Valid Certificate Signature During Chain Building:
チェーンビルダーで、チェーンの構築に使用する証明書に有効な署名が必要かどうかを指定します。このチェックボックスを選択すると、証明書に無効な RSA 署名が含まれている場合、チェーンビルダーではチェーンが構築されません。チェーン CA > ICA > EE で、ICA 上の CA の署名が無効な場合について考えます。この設定が「true」の場合、チェーン構築は ICA で停止し、CA はチェーンに含まれません。この設定が「false」の場合は、完全な 3 つの証明書のチェーンが生成されます。この設定は、DSA 署名には影響しません。デフォルト値は false です。

タイムスタンププロバイダーのオプション

TSP Server URL:
デフォルトのタイムスタンププロバイダーの URL です。値が有効な場合のみ使用されます。デフォルト値はありません。

TSP Server Username:
タイムスタンププロバイダーで必要とされる場合にユーザー名を指定します。URL 値が有効な場合のみ使用されます。デフォルト値はありません。

TSP Server Password:
タイムスタンププロバイダーで必要とされる場合に前記のユーザー名のパスワードを指定します。URL およびユーザー名の値が有効な場合のみ使用されます。デフォルト値はありません。

Request Hash Algorithm:
タイムスタンププロバイダーの要求を作成するときに使用されるハッシュアルゴリズムを指定します。デフォルト値は「SHA1」です。

Revocation Check Style:
監視失効ステータスからタイムスタンププロバイダーの証明書の信頼ステータスを判断するために使用する失効確認スタイルを指定します。デフォルト値は「BestEffort」です。

Send Nonce:
タイムスタンププロバイダー要求で nonce を送信するかどうかを指定します。nonce には、タイムスタンプまたは Web ページ訪問カウンターを使用することも、ファイルの不正な再生または複製を制限または防止するための特別なマーカーを使用することもできます。デフォルト値は true です。

Use Expired Timestamps During Validation:
このオプションを選択すると、署名の検証回数の取得に期限切れのタイムスタンプを使用できます。デフォルト値は true です。

TSP Response Size:
TSP 応答の推定サイズ(バイト単位)です。この値は、設定済みのタイムスタンププロバイダーから返されるタイムスタンプの最大サイズに一致する必要があります。確信がない限り、この値を変更しないでください。最小値は「60B」、最大値は「10240B」です。デフォルト値は「4096B」です。

証明書失効リストのオプション

Consult Local URI First:
「CRL 検索用のローカル URL」で指定した CRL の場所を、証明書内で失効確認のために指定した場所より優先するかどうかを指定します。デフォルト値は false です。

Local URI for CRL Lookup:
ローカル CRL プロバイダーの URL です。「ローカル URI を最初に参照」設定が「true」に設定されている場合にこの値が参照されます。デフォルト値はありません。

Revocation Check Style:
監視失効ステータスから CRL プロバイダーの証明書の信頼ステータスを判断するために使用する失効確認スタイルを指定します。デフォルト値は「BestEffort」です。

LDAP Server for CRL Lookup:
CRL の取得に使用する LDAP サーバー(www.ldap.com など)です。CRL に対する DN ベースのクエリーはすべてこのサーバーに送信されます。デフォルト値はありません。

Go Online:
CRL を取得するためにオンラインにするかどうかを指定します。「false」の場合、キャッシュされている CRL(ローカルディスク上または署名と共に埋め込まれているもの)のみが対象になります。デフォルト値は true です。

Ignore Validity Dates:
応答の thisUpdate および nextUpdate の時間を無視するかどうかを指定します。これらの時間によって応答の有効性に悪影響が出るのを防ぐことができます。デフォルト値は false です。

Require AKI extension in CRL:
認証機関キー識別子の拡張を CRL に含める必要があるかどうかを指定します。デフォルト値は false です。

オンライン証明書ステータスプロトコルのオプション

OCSP Server URL:
デフォルト OCSP サーバーの URL です。この URL で指定された OCSP サーバーを使用するかどうかは、「参照 URL オプション」の設定によって決まります。デフォルト値はありません。

URL To Consult Option:
ステータスチェックに使用する OCSP サーバーのリストおよび順序を制御します。デフォルト値は「UseAIAInCert」です。

Revocation Check Style:
OCSP サーバーの証明書の検証時に使用する失効確認スタイルを指定します。デフォルト値は「CheckIfAvailable」です。

Send Nonce:
OCSP 要求で nonce を送信するかどうかを指定します。nonce には、タイムスタンプまたは Web ページ訪問カウンターを使用することも、ファイルの不正な再生または複製を制限または防止するための特別なマーカーを使用することもできます。デフォルト値は true です。

Max Clock Skew Time:
応答時刻とローカル時刻の最大許容時間差(分単位)です。最小値は「0」、最大値は「2147483647m」です。デフォルト値は「5m」です。

Response Freshness Time:
事前に生成された OCSP 応答が有効であると見なされるための最大時間(分単位)です。最小値は「1m」、最大値は「2147483647」です。デフォルト値は 525600(1 年)です。

Sign OCSP Request:
OCSP 要求に署名を必要とするかどうかを指定します。デフォルト値は false です。

Request Signer Credential Alias:
署名が有効な場合に OCSP 要求への署名に使用する証明書のエイリアスを指定します。OCSP 要求の署名が有効な場合にのみ使用されます。デフォルト値はありません。

Go Online:
失効確認を行うためにオンラインにするかどうかを指定します。デフォルト値は true です。

Ignore the response’s thisUpdate and nextUpdate times:
応答の thisUpdate および nextUpdate の時間を無視するかどうかを指定します。これらの時間によって応答の有効性に悪影響が出るのを防ぐことができます。デフォルト値は false です。

Allow OCSPNoCheck extension:
証明書に署名する応答で OCSPNoCheck 拡張が許可されるかどうかを指定します。デフォルト値は true です。

Require OCSP ISIS-MTT CertHash Extension:
証明書の公開鍵ハッシュの拡張を OCSP 応答に含める必要があるかどうかを指定します。デフォルト値は false です。

デバッグ用のエラー処理オプション

Purge Certificate Cache on next API call:
次の Signature サービス操作が呼び出されたときに証明書キャッシュをクリアするかどうかを指定します。次の Signature サービス操作が呼び出されると、このオプションは「false」に戻ります。デフォルト値は false です。

Purge CRL Cache on next API call:
次の Signature サービス操作が呼び出されたときに CRL キャッシュをクリアするかどうかを指定します。次の Signature サービス操作が呼び出されると、このオプションは「false」に戻ります。デフォルト値は false です。

Purge OCSP Cache on next API call:
次の Signature サービス操作が呼び出されたときに OCSP キャッシュをクリアするかどうかを指定します。次の Signature サービス操作が呼び出されると、このオプションは「false」に戻ります。デフォルト値は false です。