Nutzerzertifikaten in Adobe Acrobat vertrauen

    Wichtiger Hinweis

    Leider liefert der Hersteller Adobe Systems seine Software Acrobat Reader und Acrobat Pro mit Einstellungen aus, welche die Nutzung unserer normalen digitalen IDs zum elektronischen Unterschreiben von PDF-Dokumenten explizit verhindern.

    Es ist möglich, diese Einstellungen zu ändern. Allerdings müssen sowohl diejenigen, die PDF-Dokumente signieren möchten, als auch diejenigen, die die so erstellten PDF-Signaturen prüfen möchten, diese Einstellungsänderungen vornehmen.

    Aus diesem Grund sollten unsere digitalen IDs ausschließlich für interne PDF-Dokumente verwendet werden, die die Fachhochschule Potsdam nicht verlassen. Denn nur dann können Sie vom Empfänger des Dokuments erwarten, dass er zur Prüfung der PDF-Signatur die unten beschriebenen Einstellungsänderungen vornimmt.

    Bitte verwenden Sie unsere digitalen IDs nicht zum Unterschreiben von PDF-Dokumenten, die an Stellen außerhalb der Fachhochschule Potsdam weitergeleitet werden. Diese Stellen werden die Signatur immer als ungültig angezeigt bekommen!

    Es gibt eine einfache Alternative: Signieren Sie nicht die PDF-Datei, sondern die E-Mail, mit der Sie die PDF-Datei versenden.


    Wurzelzertifikate korrigieren

    Leider werden alle Wurzelzertifikate, auf denen unsere digitalen IDs basieren, vom Adobe Acrobat Pro bzw. Adobe Acrobat Reader nicht akzeptiert.

    Daher ist es nötig, die Wurzelzertifikate der infrage kommenden Aussteller digitaler IDs von Hand in die Acrobat-Software zu importieren und als vertrauenswürdig einzustellen.

    Wenn Sie alle folgenden Wurzelzertifikate wie beschrieben importieren und als vertrauenswürdig einstellen, werden Sie zukünftig alle Unterschriften unter hochschulinternen PDF-Dokumente korrekt prüfen können.


    1. Bitte speichern Sie vorab folgende Dateien ab:

        • ecc-root-2001.p7b = Wurzelzertifikat der USERTrust ECC Certification Authority
          (Dies ist das Wurzelzertifikat unserer digitalen IDs „TCS“ für speziell angeforderte ECC-Schlüsselpaare.)
        • rootca-2016.p7b = Wurzelzertifikat der T-Telesec Global Root Class 2
          (Dies ist das Wurzelzertifikat unserer digitalen IDs „Global“.)
        • TestbriefSigniert.pdf = Eine mit den Zertifikaten signierte PDF-Datei
            Starten Sie Acrobat Reader oder Acrobat Pro. Im Menü „Bearbeiten“ klicken Sie auf den Punkt „Einstellungen“:


            2. Zuerst sorgen Sie dafür, dass Acrobat Reader bzw. Acrobat Pro alle von der Firma Adobe und von der Europäischen Union ausgelieferten Wurzelzertifikate importiert:


            3. Dann beseitigen Sie die hinderlichen Richtlinieneinschränkungen für das Wurzelzertifikat der USERTrust RSA Certification Authority:

            Diese sind der Grund, weshalb Sie unsere normalen digitalen IDs keinesfalls zum Signieren von PDF-Dokumenten verwenden sollten, die an Stellen außerhalb der Fachhochschule Potsdam weitergeleitet werden.

            Hinzu kommt, dass alte digitale IDs „TCS“, die noch nicht abgelaufen sind, beim Beantragen neuer digitaler IDs automatisch widerrufen werden. Das sorgt aber dafür, dass die damit erstellten Signaturen unter (archivierten) PDF-Dateien als ungültig angezeigt werden, obwohl sie vorher als gültig angezeigt wurden. Digitale IDs „TCS“ sind also keinesfalls zum Signieren von PDF-Dateien geeignet, wenn diese länger aufbewahrt werden sollen.

            Aus der langen Liste müssen Sie die USERTrust RSA Certification Authority heraussuchen, bevor Sie auf das Editieren-Symbol klicken:

            Hier können Sie die voreingestellten Richtlineneinschränkungen löschen:

            Bei einer Aktualisierung der Adobe Approved Trust List würde diese Einstellung wieder überschrieben werden, daher muss diese Aktualisierung deaktiviert werden:

            (Die European Union Trusted List enthält die Aussteller qualifizierter Signaturen nach der eIDAS-Verordnung der EU und sollte daher aktuell gehalten werden.)


            4. Dann importieren Sie das Wurzelzertifikat der USERTrust ECC Certification Authority und stellen Sie das Vertrauen ein:

            Auch hier gilt, dass alte digitale IDs „TCS“, die noch nicht abgelaufen sind, beim Beantragen neuer digitaler IDs automatisch widerrufen werden. Das sorgt aber dafür, dass die damit erstellten Signaturen unter (archivierten) PDF-Dateien als ungültig angezeigt werden, obwohl sie vorher als gültig angezeigt wurden. Digitale IDs „TCS“ sind also keinesfalls zum Signieren von PDF-Dateien geeignet, wenn diese länger aufbewahrt werden sollen.


            Sie sollten das Zertifikat im oberen Fenster anklicken, um es im unteren Fenster einzutragen, es dann im unteren Fenster anklicken und nicht sofort importieren, sondern zuerst die Vertrauenswürdigkeit anpassen:

            Die eingerückt dargestellten Punkte sollten Sie nicht aktivieren:


            5. Dann importieren Sie das alte Wurzelzertifikat der T-TeleSec GlobalRoot Class 2 Certification Authority und stellen Sie das Vertrauen ein:

            Sie sollten das Zertifikat im oberen Fenster anklicken, um es im unteren Fenster einzutragen, es dann im unteren Fenster anklicken und nicht sofort importieren, sondern zuerst die Vertrauenswürdigkeit anpassen:

            Die eingerückt dargestellten Punkte sollten Sie nicht aktivieren:


            6. Abschließend können Sie die Einstellungen schließen und anhand der oben heruntergeladenen Test-PDF-Datei prüfen, ob die Einstellungen für die Zertifikate jetzt korrekt sind:


            anhängende Datei(en)
            ecc-root-2021.p7b
            404kb
             rootca-2016.p7b
            404kb
             Signiertes Test PDF-unterschrieben.pdf
            404kb
            Veröffentlicht