Как подписать PDF-документ электронной подписью — пошаговая инструкция

Как подписать PDF-документ электронной подписью —  пошаговая инструкция Электронная цифровая подпись
Содержание
  1. New-selfsignedcertificate: командлет powershell для генерации самоподписанного сертификата
  2. Pfx сертификат (формат pkcs # 12)
  3. Pkcs # 7 / p7b сертификат
  4. Добавление сертификата из сообщения электронной почты
  5. Добавление сертификата из цифровой подписи в файл pdf
  6. Изменение настроек шифрования
  7. Импорт сертификатов с помощью мастера сертификатов windows (только в windows)
  8. Использование самоподписанного ssl сертификата sha-256 в iis
  9. Как подписать pdf-документ электронной подписью — пошаговая инструкция
  10. Конвертация pem в der
  11. Конвертация pem в p7b / pkcs#7
  12. Конвертация pem в pfx / pkcs#12
  13. Конвертация pfx / pkcs#12 в pem
  14. Настройка программы acrobat на поиск в хранилище сертификатов windows (только в windows)
  15. Получение сертификатов от других пользователей
  16. Предпосылки
  17. Проверка информации, содержащейся в сертификате
  18. Создание самоподписанного ssl-сертификата
  19. Создание самоподписанного ssl-сертификата без запроса
  20. Создать самоподписанный сертфикат типа code signing для подписывания кода
  21. Формат сертификата der
  22. Формат сертификата pem
  23. Шифрование pdf или портфолио pdf при помощи сертификата
  24. Вывод

New-selfsignedcertificate: командлет powershell для генерации самоподписанного сертификата

Для создания самоподписанного сертификата в PowerShell нужно использовать командлет New-SelfSignedCertificate, входящий в состав модуля PKI (Public Key Infrastructure).

Чтобы вывести список всех доступных командлетов в модуле PKI, выполните команду:

Get-Command -Module PKI

Самоподписанные сертификаты рекомендуется использовать в тестовых целях или для обеспечения сертификатами внутренних интранет служб (IIS, Exchange, Web Application Proxy, LDAPS, ADRMS, DirectAccess и т.п.), в тех случая когда по какой-то причине приобретение сертификата у внешнего провайдера или разворачивание инфраструктуры PKI/CA невозможны.

Для создания сертификата нужно указать значения –DnsName (DNS имя сервера, имя может быть произвольным и отличаться от имени localhost) и —CertStoreLocation (раздел локального хранилища сертификатов, в который будет помещен сгенерированный сертификат).

Pfx сертификат (формат pkcs # 12)

Формат SSL сертификата PKCS # 12 или, как его еще называют, PFX сертификат – бинарный формат, при использовании которого в одном зашифрованном файле хранится не только ваш личный сертификат сервера и промежуточные сертификаты центра сертификации, но и ваш закрытый ключ.

Данные команды OpenSSL дают возможность преобразовать сертификаты и ключи в разные форматы. Для того чтобы сделать их совместимыми с определенными видами серверов, либо ПО. К примеру, Вам необходимо конвертировать обыкновенный файл PEM, который будет работать с Apache, в формат PFX (PKCS # 12) с целью применения его с Tomcat, либо IIS.

Также существуют онлайн программы для конвертации сертификатов из одного формата в другой. Например, мы можем посоветовать SSL конвертер от SSLShopper. Используйте этот SSL конвертер для преобразования SSL-сертификатов различных форматов, таких как PEM, DER, P7B и PFX.

Чтобы использовать SSL-конвертер, просто выберите файл сертификата и его текущий тип (он определяется по формату расширения), затем выберите формат, в какой Вам необходимо преобразовать SSL сертификат и нажмите кнопку “Convert Certificate”. Обратите внимание, что в зависимости от того, в какой формат вам нужно конвертировать SSL сертификат, от вас потребуются разные исходящие файлы.

Pkcs # 7 / p7b сертификат

SSL сертификаты в формате PKCS # 7 или P7B – это файлы, которые хранятся в формате Base64 ASCII и имеют расширение файла .p7b или .p7c. P7B сертификаты содержат теги начала сертификата “—– BEGIN PKCS7 ——” и его конца “—– END PKCS7 —–“.

Файлы в формате P7B включают в себя только ваш SSL сертификат и промежуточные SSL сертификаты. Приватный ключ при этом идет отдельным файлом. SSL сертификаты в формате PKCS # 7 / P7B поддерживают следующие платформы: Microsoft Windows и Java Tomcat.

Добавление сертификата из сообщения электронной почты

Добавление сертификата из цифровой подписи в файл pdf

Для того чтобы безопасно добавить сертификат из подписанного файла PDF в список доверенных лиц, сначала проверьте личный код у лица, выдавшего сертификат.

Изменение настроек шифрования

Импорт сертификатов с помощью мастера сертификатов windows (только в windows)

Если для управления сертификатами используется хранилище сертификатов Windows, то сертификаты можно импортировать с помощью мастера из Проводника Windows. Чтобы импортировать сертификаты, найдите файл, который содержит сертификаты, и определите его местоположение.

Использование самоподписанного ssl сертификата sha-256 в iis

Обратите внимание, что при создании самоподписанный сертификат для IIS через консоль Internet Information Manager (пункт меню Create Self-Signed Certificate), создается сертификат с исопльзованием алгоритма шифрования SHA-1.

Вы можете привязать самоподписанный сертификат SHA-256, созданный в PowerShell, к сайту IIS. Если вы с помощью PowerShell создали SSL сертификат и поместили его в хранилище сертификатов компьютера, он будет автоматически доступен для сайтов IIS.

Запустите консоль IIS Manager, выберите ваш сайт, затем в настройке Site Binding, выберите созданный вами сертификат и сохраните изменения.

Как подписать pdf-документ электронной подписью — пошаговая инструкция

Есть два варианта, как подписать PDF-документ ЭЦП: использовать модуль «Криптопро PDF» или программу «КриптоАРМ ГОСТ». О том, как подписывать документ в КриптоАРМ, мы рассказали в этой статье. Пошаговая инструкция для работы в Криптопро PDF — далее.

Шаг 1. Установите модуль «Криптопро PDF». Его можно скачать бесплатно с сайта разработчиков.

image

Модуль будет работать бесплатно 90 дней. Чтобы продолжить работу, нужно купить лицензию и указать серийный номер в настройках модуля. Для этого откройте документ в программе Adobe Acrobat Reader DC, затем выберите раздел «Справка» → «О модулях сторонних производителей» → «Cryptopro PDF». В открывшемся окне выберите «Установить лицензию». В новом окне введите данные о пользователе, организации и серийный номер.

image

Шаг 2.Установите подпись в Adobe Acrobat Reader DC. Для этого выберите: «Редактирование» → «Установки» → «Подписи» → в разделе «Создание и оформление» кликните «Подробнее» → в графе «Метод подписания по умолчанию» выберите «Криптопро PDF» → «Ок».

image

Шаг 3. Убедитесь, что модуль «Криптопро PDF» установлен. Для этого зайдите в раздел «Справка» → «Модули сторонних производителей». Там должен быть указан Криптопро PDF

image

Шаг 4. Откройте в Adobe Acrobat Reader DC документ, который нужно подписать. Зайдите в раздел «Дополнительные инструменты». Выберите пункт «Сертификаты».

image

Шаг 5. Программа автоматически вернется в ваш документ. Выберите пункт «Поставить цифровую подпись» в меню сверху.

image

Шаг 6. Выберите место, где будет стоять электронная подпись. Например, рядом с местом для печати.

5

Шаг 7. В открывшемся окне выберите подходящий сертификат, нажмите кнопку «Ок». Сохраните подписанный документ.

imageНа этом шаге программа может запросить пароль, которым защищена электронная подпись.

Шаг 8. Убедитесь, что документ подписан. В выбранной области должно появиться такое изображение.

111

Инструкция подойдет для подписания документов в Adobe Acrobat Pro DC и Adobe Acrobat Standard DC.

Материал актуален на 10.01.2022

Конвертация pem в der

Для конвертации стандартного сертификата в формате PEM в бинарный формат DER, потребуется только файлSSL сертификата. Обычно, вы его получаете в архиве вместе с промежуточными сертификатами. Как правило, в его названии указано имя вашего домена.

Конвертация формата PEM в DER

Конвертация pem в p7b / pkcs#7

Если же вам нужно преобразовать ваш стандартный SSL сертификат в файл формата P7B / PKCS#7, вы можете кроме SSL сертификата вашего домена загрузить также файлы с цепочками сертификатов. Более подробно о том, что такое цепочка SSL сертификатов, мы писали в статье о CA-bundle.

Читайте также:  Как исправить ошибку превышения размера при подписи PDF сертификатом ЭЦП?

Конвертация pem в pfx / pkcs#12

Обратите внимание, что для конвертации стандартного формата SSL сертификата необходимо добавить еще один файл – ваш приватный ключ. Приватный ключ – это конфиденциальная информация, которая должна быть только у вас. Поэтому центры сертификации не высылают его месте с файлами вашего сертификата.

Приватный ключ создается в момент генерации CSR запроса. Если вы генерируете CSR у себя на сервере, на нем же должен автоматически сохраниться ключ. Если вы создаете CSR запрос в специальном инструменте на нашем сайте (на странице по ссылке или во время заполнения технических данных), ключ показывается вам в конце генерации CSR (или введения технических данных), но не сохраняется в нашей базе данных. Поэтому важно, чтобы вы самостоятельно сохранили приватный ключ.

Конвертация pfx / pkcs#12 в pem

Если вам необходимо преобразовать SSL сертификат формата PFX в PEM-формат, следует открыть файл сертификата в любом текстовом редакторе и скопировать текст каждого сертификата вместе с тегами BEGIN / END в отдельные файлы, после чего их следует сохранить их как certificate.cer (для сертификата вашего сервера) и cacert.cer (для цепочки промежуточных сертификатов). То же самое следует проделать с текстом приватного ключа и сохранить его под названием privatekey.key.

Настройка программы acrobat на поиск в хранилище сертификатов windows (только в windows)

Не рекомендуется объявлять доверенными сертификаты из хранилища сертификатов Windows.

Получение сертификатов от других пользователей

Сертификаты, полученные от других пользователей, сохраняются в списке доверенных лиц. Этот список напоминает адресную книгу и по нему можно проверить подписи пользователей в любых полученных документах.

Предпосылки


Инструментарий openssl необходим для создания самозаверяющего сертификата.

Чтобы проверить, установлен ли пакет openssl в вашей системе Linux, откройте ваш терминал, введите openssl version и нажмите Enter. Если пакет установлен, система распечатает версию OpenSSL, в противном случае вы увидите нечто подобное openssl command not found .

Если пакет openssl не установлен в вашей системе, вы можете установить его, выполнив следующую команду:

Проверка информации, содержащейся в сертификате

Кроме того, можно проверить, не аннулирован ли сертификат удостоверяющим центром. Как правило, сертификаты аннулируются при уходе сотрудников из компании, а также если возникает угроза безопасности.

Создание самоподписанного ssl-сертификата

Чтобы создать новый самоподписанный сертификат SSL, используйте openssl req команду:


Давайте разберем команду и разберемся, что означает каждая опция:

  • -newkey rsa:4096 – Создает новый запрос сертификата и 4096-битный ключ RSA. Значение по умолчанию составляет 2048 бит.
  • -x509 – Создает сертификат X.509.
  • -sha256 – Используйте 265-битный SHA (алгоритм безопасного хэширования).
  • -days 3650 – Количество дней для сертификации сертификата. 3650 – это 10 лет. Вы можете использовать любое положительное целое число.
  • -nodes – Создает ключ без ключевой фразы.
  • -out example.crt – Указывает имя файла, в который будет записан вновь созданный сертификат. Вы можете указать любое имя файла.
  • -keyout example.key – Задает имя файла, в который будет записан вновь созданный закрытый ключ. Вы можете указать любое имя файла.

Для получения дополнительной информации о параметрах openssl req команды посетите страницу документации OpenSSL req.

Как только вы нажмете Enter, команда сгенерирует закрытый ключ и задаст вам ряд вопросов, которые она будет использовать для генерации сертификата.

Generating a RSA private key
......................................................................    
........    
writing new private key to 'example.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----

Введите запрашиваемую информацию и нажмите Enter.

Читайте также:  Перенос СБиС на другой компьютер -

Создание самоподписанного ssl-сертификата без запроса


Если вы хотите сгенерировать самозаверяющий SSL-сертификат без запроса какого-либо вопроса, используйте -subj параметр и укажите всю информацию о субъекте:

Generating a RSA private key
......................................................................    
........    
writing new private key to 'example.key'
-----

Поля, указанные в

-subj

строке, перечислены ниже:

  • C= – Название страны. Двухбуквенное сокращение ISO.
  • ST= – Название штата или провинции.
  • L= – Название населенного пункта. Название города, в котором вы находитесь.
  • O= – Полное название вашей организации.
  • OU= – Организационная единица.
  • CN= – Полное доменное имя.

Создать самоподписанный сертфикат типа code signing для подписывания кода

В PoweShell 3.0 командлет New-SelfSifgnedCertificate позволял генерировать только SSL сертификаты, которые нельзя было использоваться для подписывания кода драйверов и приложений (в отличии сертификатов, генерируемых утилитой MakeCert).

В версии PowerShell 5 новая версия командлета New-SelfSifgnedCertificate теперь может использоваться для выпуска сертификатов типа Code Signing.

Для создания самоподписанного сертфиката для подписывания кода приложений, выполните команду:

$cert = New-SelfSignedCertificate -Subject “Cert for Code Signing” -Type CodeSigningCert -CertStoreLocation cert:LocalMachineMy

Теперь можно подписать ваш PowerShell скрипт эти сертификатом:

Set-AuthenticodeSignature -FilePath C:PStest_script.ps1 -Certificate $cert

Если при выполнении команды появится предупреждение UnknownError, значит этот сертификат недоверенный, т.к. находится в персональном хранилище сертификатов пользователя.

Нужно переместить его в корневые сертификаты (не забывайте периодически проверять хранилище сертификатов Windows на наличие недоверенных сертфикатов и обновлять списки корневых сертификатов):

Формат сертификата der

DER формат – это бинарный тип сертификата вместо формата PEM. В PEM формате чаще всего используется расширение файла .cer, но иногда можно встретить и расширение файла .der. Поэтому чтобы отличить SSL сертификат в формате PEM от формата DER, следует открыть его в текстовом редакторе и найти теги начала и окончания сертификата (BEGIN/END). DER SSL сертификаты, как правило, используются на платформах Java.

Формат сертификата pem

PEM – наиболее популярный формат среди сертификационных центров. PEM сертификаты могут иметь расширение .pem, .crt, .cer, и .key (файл приватного ключа). Она представляют собой ASCII файлы, закодированные по схеме Base64. Когда вы открываете файл pem формата в текстовом редакторе, вы можете увидеть, что текст кода в нем начинается с тега “—– BEGIN CERTIFICATE —–” и заканчивая тегом “—– END CERTIFICATE —–“.

Apache и другие подобные серверы используют сертификаты в PEM формате. Обратите внимание, что в одном файле может содержатся несколько SSL сертификатов и даже приватный ключ, один под другим. В таком случае каждый сертификат отделен от остальных ранее указанными тегами BEGIN и END. Как правило, для установки SSL сертификата на Apache, сертификаты и приватный ключ должны быть в разных файлах.

Шифрование pdf или портфолио pdf при помощи сертификата

Чтобы зашифровать несколько документов в формате PDF, используйте мастер операций в Acrobat Pro (выберите Инструменты > Мастер операций) для применения заранее определенной последовательности. В качестве альтернативы можно изменить последовательность для добавления необходимых функций безопасности. Кроме того, можно также сохранить параметры сертификата в виде стратегии защиты и использовать их повторно для шифрования документов PDF.

Вывод


В этом руководстве мы показали, как создать самозаверяющий сертификат SSL с помощью инструмента openssl. Теперь, когда у вас есть сертификат, вы можете настроить приложение для его использования.

Оцените статью
ЭЦП Эксперт
Добавить комментарий

Adblock
detector