Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Wiki Markup
h1. Konfiguration von Adobe Reader

Diese Seite beschreibt die Konfiguration von Adobe Reader (ehemals Acrobat Reader) zur Verwendung mit dem LocalSigner, resp. zur Validierung von Signaturen.

*Konfiguration von Adobe Reader*
{toc:style=none|minLevel=2|outline=false}
Grundsätzlich sollte aus Sicherheitsgründen jeweils die neueste Version des Adobe Readers verwendet werden. Für die Zusammenarbeit mit LocalSigner 2.5 wird mindestens ein Adobe Reader mit Version 8.x benötigt. 

h2. Verwendung von Adobe Reader X im LocalSigner

Der LocalSigner verwendet den Adobe Reader zur Anzeige des signierten Dokumentes. Damit die korrekt funktioniert, muss die folgende Einstellung im Adobe Reader korrekt sein (entspricht dem Auslieferzustand des Adobe Readers):

h4. Windows

Im Dialog _Internet_ (Zugriff über Menu _Bearbeiten_ \-> _Voreinstellungen_ \-> _Internet_) sicherstellen, dass die Option "_PDF in Browser anzeigen_" aktiviert ist.

{link-window:^adobeInternet-full.jpg|type=popup|icon=false|width=967|height=720|location=false} !adobeInternet-500px.jpg!{link-window}


h4. Max OS X

In der Mac Version ist die Einstellung bei der Installation korrekt gesetzt und kann nicht verändert werden.

h4. Linux

Adobe Reader X ist für Linux noch nicht verfügbar.


h2. Validieren von Signaturen


h3. Adobe Reader X (10.0.0)


Seit November 2010 ist der neue Adobe Reader für Windows und Mac OS X verfügbar. Bereits die Adobe Reader Version 9.4 unterstützte die nachfolgend beschriebenen Mechanismen für den Stammzertifikatsupdate.
 Die Stammzertifikate von SwissSign und QuoVadis sind im Stammzertifikatsupdate von Adobe enthalten (nicht aber die Stammzertifikate von AdminPKI und Swisscom). 

Adobe Reader müssen zuerst die Stammzertifikate bekannt gemacht werden. Per Default wird dies beim erstmaligen Laden eines Dokumentes mit Zertifikaten gemacht.

Im folgenden Dialog (Zugriff über Menu _Bearbeiten_ \-> _Schutz_ \-> _Vertrauenswürdige Identitäten verwalten..._) ist die Situation ohne geladene Stammzertifikate dargestellt:

!mac_adobe_rootcert.jpg!

Nach dem Laden der Stammzertifikate sind folgende Zertifikate definiert (Status: November 2010):

!mac_adobe_rootcert_all.jpg!

Unter _Kontakt hinzufügen_ können die fehlenden Stamm\- und Zwischenzertifikate von AdminPKI und Swisscom nachgeladen werden (siehe dazu weiter unten zu Stamm\- und Zwischenzertifikate herunterladen). Unter _Vertrauenswürdigkeit bearbeiten_ müssen (nur für die Stammzertifikate, nicht für Zwischenzertifikate) anschliessend die Check-Boxen bei _Dieses Zertifikat als vertrauenswürdigen Stamm verwenden_ und _Zertifizierte Dokumente_ aktiviert werden.

Die Einstellungen zum periodischen Update der Stammzertifikate ist zu finden unter:

* Windows: Menu _Bearbeiten_ \-> _Voreinstellungen_. Abschnitt _Berechtigungen_
* Mac OS X: Menu _Adobe Reader _\-> _Voreinstellungen_. Abschnitt _Berechtigungen_

{link-window:^mac_adobe_aatl_settings-full.jpg|type=popup|icon=false|width=1059|height=571|location=false} !mac_adobe_aatl_settings-500px.jpg!{link-window}

Weitere Informationen sind bei Adobe auf der Website [Adobe Approved Trust List (AATL)|http://www.adobe.com/security/approved-trust-list.html] zu finden. Hilfreich ist auch die [FAQ|http://www.adobe.com/security/pdfs/aatl-faq.pdf] zum Thema AATL.

In der Version 10.0.0 für Mac OS X und Version 9.4 für Linux besteht noch ein Problem des Adobe Readers mit dem Laden der AATL über einen Webproxy.

Der Weg mit dem Windows Zertifkatsspeicher, wie er im nächsten Abschnitt (Acrobat Reader 8.x und 9.x für Windows) beschrieben wird, ist mit Adobe X ebenfalls möglich. 


h3. Acrobat Reader 8.x & 9.x (Windows)

Damit ein digital signiertes Dokument mit älteren Adobe Reader Versionen validiert werden kann, muss man wie folgt vorgehen:
* Schritt 1: das Stammzertifikat herunterladen (bzw. die in der Schweiz genutzten Stammzertifikate)
* Schritt 2: das Zertifikat im Zertifikatspeicher von Windows installieren
* Schritt 3: den Adobe Reader dazu bringen, den Windows Zertifikatspeicher zu berücksichtigen

h4. Schritt 1 - Stamm\- und Zwischenzertifikate herunterladen

* *Root Zertifikat der Post*.
** Laden Sie von [SwissSign|https://swisssign.com/de/index.php?option=com_content&Itemid=1&id=113&lang=de&task=view] das „SwissSign Platinum CA - G2" (The Root CA Certificate of SwissSign's Platinum CA - G2) herunter. 
** Das Zertifikat wird als Datei mit dem Namen {{Platinum_G2_2006.der}} gespeichert.
* *Root Zertifikat und Zwischenzertifikate von Quo Vadis*
** Laden Sie von [Quo Vadis|http://www.quovadisglobal.ch/Repository/DownloadRootsAndCRL.aspx] das "QuoVadis Root CA" (Stammzertifikat) und das "QuoVadis SuisseID Qualified CA G1" (Zwischenzertifikat qualifiziert) im Format DER herunter.
** Die Zertifikate werden als Datei mit den Namen quovadis_rca_der.cer und quovadis_qvsidqg1_der.cer gespeichert.
* *Root Zertifikat und Zwischenzertifikat der Verwaltung* (AdminPKI)
** Laden Sie vom [BIT|http://www.bit.admin.ch/adminpki/00247/00792/index.html?lang=de] die beiden Zertifikate "Admin-Root-CA" (Stammzertifikat) und "Admin-CA-A-T01" (Zwischenzertifikat qualifiziert) herunter.
** Die Zertifikate werden als {{Admin-Root-CA.crt}} und {{Admin-CA-A-T01.crt}} gespeichert.
* *Root Zertifikat und Zwischenzertifikat von Swisscom*
** Laden Sie von [Swisscom|http://www.swissdigicert.ch/sdcs/portal/page?node=download_ca] die beiden Zertifikate "Root CA Zertifikat" (Stammzertifikat und "CA Zertifikat der Klasse "Diamant" (Zwischenzertifikat qualifiziert)" im Format DER herunter.
** Die Zertifikate werden als {{Swisscom_Root_CA_1_der.crt}} und {{Swisscom_Diamant_CA_1_der.crt}} gespeichert.

h4. Schritt 2 - Stamm\- und Zwischenzertifikate in Windows Zertifikatsspeicher laden

Das Zertifikat wie folgt im Zertifikatspeicher von Windows installieren:
* Internet Explorer starten.
* Menupunkt „Extras > Internetoptionen ..." auswählen, dann den Reiter „Inhalte".
* Auf Knopf „Zertifikate..." klicken
* Reiter „Vertrauenswürdige Stammzertifizierungsstellen" (für Stammzertifikate), Reiter „Vertrauenswürdige Zwischenzertifizierungsstellen" (für Zwischenzertifikate) auswählen, zuerst Stammzertifikate laden.

!screen1.jpg!

Knopf „Importieren ..." drücken


Anschliessend wie folgt durch den Import-Wizard laufen.

{gallery:columns=2|include=wizard1.jpg,wizard2.jpg,wizard3.jpg,wizard4.jpg,wizard5.jpg,wizard6.jpg}

h4. Schritt 3 - Konfiguration Adobe Reader

Um Adobe Reader den Zugriff auf Root Zertifikate aus dem Windows Zertifikatspeicher zu erlauben, sind folgende Schritte nötig:

* Adobe Reader starten
* Im Menu *Bearbeiten* den Eintrag *Grundeinstellung* (Version8), resp. *Voreinstellung* (Version 9) wählen (engl.: Edit \-> Preferences).
* *Sicherheit* (engl.: Security) auswählen.

{link-window:^reader1-full.jpg|type=popup|icon=false|width=1135|height=754|location=false} !reader1-500px.jpg!{link-window}


* Bei den Sicherheitseinstellungen *Erweiterte Voreinstellungen* wählen (engl.: Advanced Preferences).
* Bei den erweiterten Einstellungen den Reiter *Windows Integration* (engl.: Windows Integration) auswählen.
* Die entsprechenden Checkboxen (gemäss Screenshot unten) aktivieren.

{link-window:^reader2-full.jpg|type=popup|icon=false|width=832|height=647|location=false} !reader2-500px.jpg!{link-window}

Damit die Signatur validiert werden kann, muss der Adobe Reader eine Verbindung zum Internet öffnen können. Das funktioniert nur dann, wenn der Internetzugang im Internet Explorer korrekt konfiguriert ist.