Direkt zum Inhalt

Digitale IDs einbauen und nutzen mit Acrobat Reader oder Acrobat Pro

Laut https://www.pdf-insecurity.org/ werden digitale Unterschriften durch fast alle PDF-Reader, auch von Adobe, nicht korrekt überprüft. Es gibt zahlreiche verschiedene Möglichkeiten, diese PDF-Reader so auszutricksen, dass sie gefälschte Inhalte als echt anzeigen!

Leider liefert der Hersteller Adobe Systems seine Software Acrobat Reader und Acrobat Pro mit Einstellungen aus, welche die Nutzung unserer normalen Zertifikate zum digitalen Unterschreiben von PDF-Dokumenten explizit verhindern.

Es ist möglich, diese Einstellungen zu ändern. Allerdings müssen sowohl diejenigen, die PDF-Dokumente signieren möchten, als auch diejenigen, die die so erstellten PDF-Signaturen prüfen möchten, diese Einstellungsänderungen vornehmen.

Es gibt eine einfache Alternative: Signieren Sie nicht die PDF-Datei, sondern die E-Mail, mit der Sie die PDF-Datei versenden.

Diese Anleitung besteht aus vier Teilen:

  • I. Wurzelzertifikate korrigieren
  • II. Digitale ID importieren
  • III. PDF-Datei digital unterschreiben
  • IV. Digital unterschriebene PDF-Datei prüfen

Kontakt

IT Service Desk
Universitätsrechenzentrum, Bernhard-von-Cotta-Str. 1, 09599 Freiberg
servicedesk [at] tu-freiberg.de +49 3731 39-1818

I. Wurzelzertifikate korrigieren

Leider werden alle Wurzelzertifikate, auf denen unsere digitale IDs basieren, vom Adobe Acrobat Pro bzw. Adobe Acrobat Reader nicht akzeptiert.

Daher ist es nötig, die Wurzelzertifikate der infrage kommenden Aussteller digitaler IDs von Hand in die Acrobat-Software zu importieren und als vertrauenswürdig einzustellen.

Die nachfolgende Anleitung geht davon aus, dass Sie sowohl allen qualifizierten Signaturen nach der eIDAS-Verordnung der Europäischen Union als auch den im Rahmen der DFN-PKI verwendeten Wurzelzertifikaten als auch allen von der Firma Adobe ausgewählten Wurzelzertifikaten vertrauen möchten.

Eine sinnvolle Alternative wäre, nur den qualifizierten Signaturen und einzelnen ausgewählten Wurzelzertifikaten zu vertrauen. Dazu sollten Sie sämtliche Wurzelzertifikate löschen und anschließend nur die EUTL und die ausgewählten Wurzelzertifikate importieren, also nur den entsprechenden Teilen der nachfolgenden Anleitung folgen. Insbesondere sollte Sie dann die AATL nicht laden!

Schritt 1: Zertifikats-Dateien speichern

  • AAA.crt (Zertifikat AAA Certificate Services)
  • USERTrustRSA.crt (Zertifikat USERTrust RSA Certification Authority)
  • GEANT_Personal_CA.crt (Zertifikat GEANT Personal CA 4)
  • Ihr eigenes Nutzerzertifikat inklusive privatem Schlüssel, falls auf dem lokalen Rechner dieses noch nicht installiert ist (im PKCS#12-Format in einer .pfx-Datei; enthält privaten Schlüssel und Zertifikat).

Schritt 7: Importieren Sie das Wurzelzertifikat GEANT OV RSA CA 4 und stellen das Vertrauen ein

Führen Sie die identischen Schritte durch wie oben für „AAA Certificate Services“ (Schritt 5) und für „USERTrust RSA Certification Authority “ (Schritt 6), nur wählen Sie dieses Mal die Datei "GEANT_Personal_CA.crt", die Sie oben heruntergeladen haben, aus.