Signature サービスの設定

Signature サービスについて次のサービス設定プロパティを変更できます(「サービス設定の編集」を参照)。

一部の値は、操作プロパティのデフォルト値として使用されます。デフォルト値を無効にするには、操作プロパティに別の値を指定します。

Execute Document JavaScripts scripts:
署名操作中に Acrobat または Adobe Reader で Document JavaScript スクリプトを実行するかどうかを指定します。デフォルトでは、このオプションは選択されており、署名操作中に Document JavaScript スクリプトが実行されます。

Process Documents with Acrobat 9 Compatibility:
Acrobat 9 の互換性を有効にするかどうかを指定します。例えば、このオプションを選択すると、「Visible Certification in Dynamic PDFs」が有効になります。デフォルトでは、このオプションは選択されており、Acrobat 9 の互換性が有効になります。

Embed Revocation Info While Signing:
PDF ドキュメントへの署名時に失効情報を埋め込むかどうかを指定します。デフォルトでは、このオプションは選択されており、Signature サービスの操作によって PDF ドキュメントが署名されるときに失効情報が埋め込まれます。

Embed Revocation Info While Certifying:
PDF ドキュメントの認証時に失効情報を埋め込むかどうかを指定します。デフォルトでは、このオプションは選択されており、Signature サービスによって PDF ドキュメントが署名されるときに失効情報が埋め込まれます。

Enforce Embedding of Revocation Info for all Certificates During Signing/Certification:
すべての証明書の有効な失効情報が埋め込まれていない場合、署名または認証操作が失敗するかどうかを指定します。証明書に証明書失効リスト(CRL)または Online Certification Server Protocol(OCSP)情報が含まれていない場合は、失効情報が取得されない場合でも証明書は有効と見なされます。デフォルトでは、このオプションは選択されておらず、失効情報が埋め込まれているかどうかに関係なく、署名および認証操作は失敗しません。

Revocation Check Order:
失効確認の実行に使用するメカニズムの順序を指定します。デフォルト値は OCSPFirst です。次のいずれかの値を選択します。
  • CRLFirst:オンライン証明書ステータスプロトコル(OCSP)の前に証明書失効リスト(CRL)を使用します。

  • OCSPFirst:CRL の前に OCSP を使用します。

Maximum Size of Revocation Archival Info:
失効アーカイブ情報の最大サイズをキロバイト単位で指定します。LiveCycle では、制限を超えない範囲で、できるだけ多くの失効情報が格納されます。デフォルト値は 10 KB です。

Verification Time Option:
署名者の証明書を検証する時間を指定します。デフォルト値は、Signing Time です。次のいずれかの値を選択します。
  • Signing Time:署名者のコンピューターで署名が適用された時間

  • Current Time:検証操作が実行されている時間

  • Secure Time Else Current Time:信頼できるタイムスタンプ機関によって指定された時間

Use Revocation Information Archived in Signature During Validation:
署名付きでアーカイブされている失効情報を失効確認に使用するかどうかを指定します。デフォルトでは、このオプションは選択されています。

Use Validation Information Stored in the Document for Validation of Signatures:
PDF ドキュメントに格納されている検証情報を電子署名の検証に使用するかどうかを指定します。このオプションは、Acrobat 9.1 と Signature サービスで利用できる長期検証サポートの一部であり、PDF ドキュメントに Digital Signature Standard(DSS)ディクショナリを作成します。DSS ディクショナリには、ドキュメントの署名の検証情報が格納されます。検証情報には、証明書、失効情報およびタイムスタンプ情報が含まれます。Acrobat および LiveCycle の以前のリリースでは、検証情報は電子署名の一部として格納されていました。

このオプションは、デフォルトで選択されており、PDF ドキュメントに格納されている検証情報が電子署名の検証に使用されます。

Maximum Nested Verification Sessions Allowed:
ネスト可能な検証セッションの最大数を指定します。LiveCycle サーバーは、この値を使用して無限ループが発生しないようにします。無限ループは、OCSP または CRL が正しく設定されていない状態で OCSP または CRL 署名者の証明書を検証する際に、発生する場合があります。デフォルト値は 5 です。

Maximum Clock Skew for Verification:
検証時間から署名時間までの最長の時間を分単位で指定します。Clock Skew がこの値より大きい場合、署名は無効になります。デフォルト値は 65 分です。

Certificate Lifetime Cache (In Minutes):
オンラインまたはその他の方法で取得した証明書が、キャッシュに存続する時間を指定します。デフォルト値は 1440 分です。

トランスポートオプション

Proxy Host:
プロキシホストの URL を指定します。プロキシホストは、有効な値が指定されている場合にのみ使用されます。

Proxy Port:
プロキシに使用するポートを指定します。有効なポート番号は、065535 です。デフォルト値は 80 です。

Proxy Login Username:
プロキシホストへのログインに使用するユーザー名を指定します。このオプションは、有効なプロキシホストとプロキシポートが設定されている場合に使用されます。

Proxy Login Password:
プロキシホストへのログインに使用するパスワードを指定します。このオプションは、有効なプロキシホストとプロキシポートが設定されている場合に使用されます。

Maximum Download Limit:
1 回の接続で受信可能なデータの最大量を MB 単位で指定します。有効なダウンロード制限値は、1 MB ~ 1024 MB です。デフォルト値は 16 MB です。

Connection Time Out:
新しい接続が確立されるまで待機する時間の最大値(秒単位)を指定します。有効なタイムアウト値は、1300 秒です。デフォルト値は 5 です。

Socket Time Out:
データの転送を待っているソケットがタイムアウトになるまでの待機時間の最大値(秒単位)を指定します。有効なタイムアウト値は、1 ~ 3600 秒です。デフォルト値は 30 秒です。

パス検証オプション

Require Explicit Policy:
署名者の証明書のトラストアンカーに関連する少なくとも 1 つの証明書ポリシーについてパスが有効である必要があるかどうかを指定します。デフォルトでは、この値は選択されず、署名者の証明書のトラストアンカーに証明書ポリシーが関連付けられている必要はありません。

Inhibit ANY Policy:
ポリシーオブジェクト識別子(OID)が証明書に含まれる場合にそれを処理するかどうかを指定します。デフォルトでは、このオプションは選択されておらず、OID を処理する必要はありません。

Inhibit Policy Mapping:
証明書パスでポリシーマッピングを許可するかどうかを指定します。デフォルトでは、このオプションは選択されておらず、証明書パスでポリシーマッピングは許可されません。

Check All Paths:
すべてのパスを検証するか、最初の有効なパスが見つかったら検証を停止するかを指定します。デフォルトでは、このオプションは選択されておらず、最初の有効なパスが見つかったら検証が停止します。

LDAP Server:
パス検証用の証明書の検索に使用する LDAP サーバーの URL またはパスを指定します。例えば、URL に www.ldap.com を入力するか、パスとポートに ldap://ssl.ldap.com:200 を入力できます。

Follow URIs in Certificate AIA:
証明書の Authority Information Access(AIA)の Uniform Resource Identifier(URI)をパス検索中に処理するかどうかを指定します。デフォルトでは、このオプションは選択されておらず、パス検索中に AIA の URI は処理されません。

Basic Constraints Extension Required in CA Certificates:
認証局(CA)の基本制約証明書拡張が CA の証明書に必要かどうかを指定します。初期のドイツ語のルート証明書の一部(7 以前)は、RFC 3280 に準拠していないので、基本制約拡張が含まれていません。該当するドイツ語ルートに連結した EE 証明書を持つユーザーが存在することがわかっている場合は、このオプションの選択を解除します。デフォルトでは、このオプションは選択されており、CA の基本制約証明書が必要です。

Require Valid Certificate Signature During Chain Building:
チェーンビルダで、チェーンの構築に使用する証明書に有効な署名が必要かどうかを指定します。このオプションを選択すると、証明書に無効な Digital Signature Algorithm(DSA)署名が含まれている場合、チェーンビルダではチェーンが構築されません。例えば、チェーン CA > ICA > EE で、EE の署名が無効な場合、チェーン構築は ICA で停止します。EE はチェーンに含まれません。この設定は、DSA 署名には影響しません。デフォルトでは、このオプションは選択されておらず、完全な 3 つの証明書のチェーンが生成されます。

タイムスタンププロバイダーオプション

TSP Server URL:
デフォルトのタイムスタンププロバイダーの URL を指定します。このオプションは、値が指定されていない場合は使用されません。

TSP Server Username:
タイムスタンププロバイダーへのアクセスに使用するユーザー名を指定します。このオプションは、「TSP Server URL」オプションに値が指定されている場合に使用されます。

TSP Server Password:
タイムスタンプサーバーへのアクセスに使用するパスワードを指定します。このオプションは、「TSP Server Username」オプションと「TSP Server URL」オプションに値が指定されている場合に使用されます。

Request Hash Algorithm:
タイムスタンププロバイダーの要求を作成するときに使用するハッシュアルゴリズムを指定します。次のいずれかの値を選択します。
  • SHA1:(デフォルト)160 ビットのハッシュ値を持つ Secure Hash Algorithm

  • SHA256:256 ビットのハッシュ値を持つ Secure Hash Algorithm

  • SHA384:384 ビットのハッシュ値を持つ Secure Hash Algorithm

  • SHA512:512 ビットのハッシュ値を持つ Secure Hash Algorithm

  • RIPEMD160:160 ビットのメッセージダイジェストアルゴリズムを使用し、FIPS には準拠していない RACE Integrity Primitives Evaluation Message Digest

Revocation Check Style:
監視失効ステータスからタイムスタンププロバイダーの証明書の信頼ステータスを判断するために使用する失効確認スタイルを指定します。次のいずれかの値を選択します。
  • NoCheck:失効を確認しません。

  • BestEffort:可能であれば、すべての証明書の失効を確認します。

  • CheckIfAvailable:(デフォルト)失効情報が利用できる場合にのみ、すべての証明書の失効を確認します。

  • AlwaysCheck:すべての証明書の失効を確認します。

Send Nonce:
要求で nonce を送信するかどうかを指定します。nonce は、時間によって変化するパラメーターです。これらのパラメーターには、タイムスタンプ、Web ページ訪問カウンターまたは特別なマーカーを使用できます。これらのパラメーターは、ファイルの不正な再生や複製を制限または防止するためのものです。デフォルトでは、このオプションは選択されており、nonce は要求で送信されます。

Use Expired Timestamps During Validation:
有効期限切れのタイムスタンプを使用するかどうかを指定します。デフォルトでは、このオプションは選択されており、署名の検証中に有効期限切れのタイムスタンプにある時間が使用されます。

TSP Response Size:
タイムスタンプサーバー(TSP)応答の推定サイズをバイト単位で指定します。この値は、設定済みのタイムスタンププロバイダーから返されるタイムスタンプの最大サイズに一致します。小さすぎる値を設定すると、操作が失敗し、サーバーログにエラーが出力されます。ただし、大きすぎる値を設定すると、サイズが必要以上に大きくなります。タイムスタンプサーバーが 4096 バイト未満の応答サイズを必要としない限り、この値を変更しないことをお勧めします。この値は、変更後の値が確実にわからない場合は変更しないでください。有効な応答サイズは、6010240 バイトです。デフォルト値は 4096 バイトです。

証明書失効リストのオプション

Consult Local URI First:
「Local URI for CRL Lookup」で証明書失効リスト(CRL)の場所を指定するかどうかを指定します。ローカル URI は、証明書内で失効確認用に指定された場所より優先される必要があります。デフォルトでは、このオプションは選択されておらず、ローカル URI を使用する前に、証明書で指定された場所が使用されます。

Local URI for CRL Lookup:
ローカル CRL プロバイダーの URL を指定します。この値は、「Consult Local URI First」設定が選択されている場合にのみ使用されます。

Revocation Check Style:
監視失効ステータスから CRL プロバイダーの証明書の信頼ステータスを判断するために使用する失効確認スタイルを指定します。次のいずれかの値を選択します。
  • NoCheck:失効を確認しません。

  • BestEffort:(デフォルト)可能であれば、すべての証明書の失効を確認します。

  • CheckIfAvailable:失効情報が利用できる場合にのみ、すべての証明書の失効を確認します。

  • AlwaysCheck:すべての証明書の失効を確認します。

LDAP Server for CRL Lookup:
証明書失効リスト(CRL)に関する情報の取得に使用する Lightweight Directory Access Protocol(LDAP)サーバーの URL またはパスを指定します。LDAP サーバーは、RFC 3280 の第 4.2.1.14 節で指定された規則に従い、識別名(DN)を使用して CRL 情報を検索します。例えば、URL に www.ldap.com を入力するか、パスとポートに ldap://ssl.ldap.com:200 を入力できます。

Go Online:
ネットワークにアクセスして CRL 情報を取得するかどうかを指定します。CRL 情報は、ネットワークを最適に使用するためにキャッシュされます。このオプションの選択を解除すると、オンライン接続されません。デフォルトでは、このオプションは選択されており、ネットワークにアクセスします。

Ignore Validity Dates:
応答の thisUpdate および nextUpdate の時間を無視するかどうかを指定します。これらの時間によって応答の有効性に悪影響が出るのを防ぐことができます。thisUpdate および nextUpdate の時間は、HTTP または LDAP を使用して取得される外部ソースであり、失効情報ごとに異なる場合があります。このオプションを選択すると、thisUpdate および nextUpdate の時間は無視されます。デフォルトでは、このオプションは選択されておらず、thisUpdate および nextUpdate の時間が使用されます。

Require AKI Extension in CRL:
認証機関キー識別子(AKI)拡張を CRL に含める必要があるかどうかを指定します。AKI 拡張は、CRL の検証に使用できます。このオプションを選択した場合は、AKI 拡張を含める必要があります。デフォルトでは、このオプションは選択されておらず、AKI 拡張は必要ありません。

オンライン証明書ステータスプロトコルのオプション

OCSP Server URL:
ローカル URL を指定します。ローカル URL はオンライン証明書ステータスプロトコル(OCSP)サーバーの場所であり、設定済みの OCSP サーバーの場所です。値は、LocalURL または UseAIAIfPresentElseLocal の値が「URL To Consult Option」にある場合にのみ使用されます。

URL To Consult Option:
失効確認の実行に使用する OCSP サーバーのリストと順序を指定します。次のいずれかの値を選択します。
  • UseAIAInCert:証明書の Authority Information Access(AIA)拡張で指定されたオンライン証明書ステータスプロトコルサーバーの URL を使用します。

  • LocalURL:「OCSP Server URL」オプションで指定された OCSP サーバーの指定済み URL を使用します。

  • UseAIAIfPresentElseLocal:証明書(存在する場合)の AIA 拡張で指定された OCSP サーバーの URL を使用します。証明書が存在しない場合は、「OCSP Server URL」で設定された URL を使用します。

  • UseAIAInSignerCert:(デフォルト)署名者の証明書の OCSP 要求の AIA 拡張で指定された OCSP サーバーの URL を使用します。

Revocation Check Style:
監視失効ステータスから CRL プロバイダーの証明書の信頼ステータスを確認するために使用する失効確認スタイルを指定します。次のいずれかの値を選択します。
  • NoCheck:失効を確認しません。

  • BestEffort:可能であれば、すべての証明書の失効を確認します。

  • CheckIfAvailable:(デフォルト)失効情報が利用できる場合にのみ、すべての証明書の失効を確認します。

  • AlwaysCheck:すべての証明書の失効を確認します。

Send Nonce:
要求で nonce を送信するかどうかを指定します。nonce は、時間によって変化するパラメーターです。これらのパラメーターには、タイムスタンプ、Web ページ訪問カウンターまたは特別なマーカーを使用できます。これらのパラメーターは、ファイルの不正な再生や複製を制限または防止するためのものです。このオプションの選択を解除すると、nonce は要求で送信されません。デフォルトでは、このオプションは選択されており、nonce は要求で送信されます。

Max Clock Skew Time:
応答時刻とローカル時刻の間の最大許容 Skew(分単位)を指定します。最小値は 0、最大値は 2147483647 分です。デフォルト値は 5 分です。

Response Freshness Time:
事前に生成された OCSP 応答が有効であると見なされるための最長時間(分単位)を指定します。有効な応答有効時間は 12147483647 分です。デフォルト値は 525600 分(1 年)です。

Sign OCSP Request:
OCSP 要求に署名を必要とするかどうかを指定します。このオプションを選択した場合は、OCSP 要求に署名が必要です。デフォルトでは、このオプションは選択されておらず、OCSP 要求に署名は必要ありません。

Request Signer Credential Alias:
署名が有効な場合に OCSP 要求への署名に使用する Trust Store 秘密鍵証明書エイリアスを指定します。

Go Online:
ネットワークにアクセスして OCSP 情報を取得するかどうかを指定します。OCSP チェックにより生成されたネットワークトラフィックの量を減らすために、埋め込まれた、またはキャッシュされた OCSP 応答が使用されます。このオプションを選択しない場合、OCSP 情報はネットワークから取得されず、埋め込まれた OCSP 情報およびキャッシュされた OCSP 情報のみが使用されます。デフォルトでは、このオプションは選択されており、OCSP 情報を取得するためにネットワークにアクセスします。

Ignore the Response’s thisUpdate and nextUpdate Times:
応答の thisUpdate および nextUpdate の時間を無視するかどうかを指定します。これらの時間によって応答の有効性に悪影響が出るのを防ぐことができます。thisUpdate および nextUpdate の時間は、HTTP または LDAP を使用して外部ソースから取得され、失効情報ごとに異なる場合があります。このオプションを選択すると、thisUpdate および nextUpdate の時間は無視されます。デフォルトでは、このオプションは選択されておらず、thisUpdate および nextUpdate の時間が使用されます。

Allow OCSPNoCheck Extension:
応答署名証明書で OCSPNoCheck 拡張が許可されるかどうかを指定します。OCSPNoCheck 拡張は、OCSP レスポンダの証明書に含めて、検証プロセスで無限ループが発生しないようにすることができます。このオプションの選択を解除すると、OCSPNoCheck 拡張は許可されません。デフォルトでは、このオプションは選択されており、OCSPNoCheck 拡張は許可されます。

Require OCSP ISIS-MTT CertHash Extension:
証明書の公開鍵ハッシュ拡張が OCSP 応答に必要かどうかを指定します。この拡張は、SigQ 検証に必要です。SigQ への準拠には、OCSP レスポンダの証明書に CertHash 拡張が必要です。このオプションは、SigQ への準拠とサポートされている OCSP レスポンダの処理時に選択します。このオプションを選択した場合は、証明書の公開鍵ハッシュ拡張が必要です。デフォルトでは、このオプションは選択されておらず、証明書の公開鍵ハッシュ拡張は必要ありません。

デバッグ用のエラー処理オプション

Purge Certificate Cache on Next API Call:
このオプションは、実稼働以外の環境でのデバッグに使用します。次の Signature サービス操作が実行されたときに証明書キャッシュをクリアするかどうかを指定します。このオプションを選択した場合は、LiveCycle サーバー上の証明書キャッシュがクリアされます。デフォルトでは、このオプションは選択されておらず、証明書キャッシュはクリアされません。最初の Signature 操作の実行後、このオプションは選択が解除されます。

Purge CRL Cache on Next API Call:
このオプションは、実稼働以外の環境でのデバッグに使用します。次の Signature サービス操作が実行されたときに証明書失効リスト(CRL)キャッシュをクリアするかどうかを指定します。このオプションを選択した場合は、LiveCycle サーバー上の CRL キャッシュがクリアされます。デフォルトでは、このオプションは選択されておらず、LiveCycle サーバー上の CRL キャッシュはクリアされません。最初の Signature 操作の実行後、このオプションは選択が解除されます。

Purge OCSP Cache on Next API Call:
このオプションは、実稼働以外の環境でのデバッグに使用します。次の Signature サービス操作が実行されたときにオンライン証明書サーバープロトコル(OCSP)キャッシュをクリアするかどうかを指定します。このオプションを選択した場合は、LiveCycle サーバー上の OCSP キャッシュがクリアされます。デフォルトでは、このオプションは選択されておらず、OCSP キャッシュはクリアされません。最初の Signature 操作の実行後、このオプションは選択が解除されます。