Bitte beachten Sie nicht nur die Bilder der nachfolgenden Anleitung, sondern lesen Sie unbedingt auch die einleitenden Erläuterungen und die Hinweise zwischen den einzelnen Abbildungen gründlich durch!
PDF-Dokumente elektronisch unterschreiben
Um PDF-Dokumente elektronisch zu unterschreiben, benötigen Sie eine für diesen Zweck geeignete digitale ID, die wir als PDF-ID bezeichnen. (Die für E-Mails verwendeten digitalen IDs sind nicht geeignet.)
Im IT-Portal erhalten Sie solche PDF-IDs von unserer eigenen PDF-CA. Diese PDF-IDs können in Adobe Acrobat (Pro und Reader) und andere PDF-Software importiert werden.
Die mit den von unserer PDF-CA ausgestellten PDF-IDs erzeugten elektronischen Unterschriften werden von der Universitätsverwaltung anerkannt und sollen auch von allen anderen Stellen der Universität Münster anerkannt werden.
(Um PDF-Dokumente so zu signieren, dass sie auch außerhalb der Universität anerkannt werden, wird allerdings eine kostenpflichtige „qualifizierte Signaturkarte“ nebst entsprechender Hard- und Software benötigt. Die damit erstellten Unterschriften werden innerhalb der Europäischen Union sogar von Behörden und Gerichten anerkannt. Bei konkretem dienstlichem Bedarf wenden Sie sich bitte an das IT-Servicekompetenzzentrum.)
Zum Ausstellen einer digitalen ID muss die Identität der Person ausreichend gut kontrolliert sein. Bei den meisten an der Universität verbeamteten, angestellten oder immatrikulierten Personen ist das bereits der Fall, ebenso bei allen Personen, die früher bereits ein persönliches Zertifikat der CA der Universität Münster erhalten haben. Diese können direkt nach der nachfolgenden Anleitung vorgehen.
Alle anderen Angehörigen der Universität bzw. der Kunstakademie (Lehrbeauftragte, Hilfskräfte, Zweithörende usw.) müssen einmalig ein UCAM-Teammitglied aufsuchen und sich ausweisen und können erst dann nach der nachfolgenden Anleitung vorgehen. Die betroffenen Personen werden im IT-Portal darauf hingewiesen.
Anleitungen
Bitte klicken Sie auf die Abbildungen, um Sie zu vergrößern.
Bitte ersetzen Sie meine Uni-Kennung „perske“, meine E-Mail-Adressen und meine sonstigen Angaben durch Ihre eigenen Daten.
Anleitung: Digitale ID für PDF-Dokumente im IT-Portal beantragen
Melden Sie sich bitte im IT-Portal an:
Zur Anmeldung verwenden Sie üblicherweise Uni-Kennung und Uni-Passwort. Falls Sie bereits eine digitale ID (für E-Mail und WWW) besitzen, können Sie aber auch diese verwenden:
Nach der Anmeldung im IT-Portal können wichtige Hinweise erscheinen. Ein hier gezeigter Hinweis auf fehlende Zwei-Faktor-Sicherheit wäre durchaus wichtig, aber diese wird beim Bantragen einer digitalen ID automatisch aktiviert.
Wählen Sie den Bereich „Digitale ID (Zertifikat)“:
Dort klicken Sie auf „Neue persönliche ID (PDF)“ oder in der richtigen Zeile auf „Beantragen“:
Auf der folgenden Seite beachten Sie bitte zuerst die ausführlichen Hinweise. Wählen Sie dann aus, welche Angaben in die digitale ID aufgenommen werden sollen.
Angehörige der Kunstakademie Münster sehen hier entsprechende Eingabemöglichkeiten:
Auf der nächsten Seite werden Sie die digitale ID als PKCS#12-Datei herunterladen. Diese Datei wird zur Sicherheit mit einem Passwort verschlüsselt. Wählen Sie bitte ein gutes Passwort und tippen Sie es zweimal ein.
Bitte notieren Sie sich dieses Passwort und bewahren Sie es sehr sorgfältig auf!
Bei Verlust kann Ihnen niemand helfen, auch wir nicht!Mit einem Klick auf den Button beantragen Sie dann Ihre neue digitale ID.
Meist nach nur wenigen Sekunden ist Ihre digitale ID fertig.
Der Download der digitalen ID sollte automatisch starten, kann aber auch von Hand gestartet werden.
Bitte speichern Sie Ihre digitale ID sorgfältig ab!
Sobald Sie die Seite verlassen, besteht keine Möglichkeit mehr, die digitale ID erneut herunterzuladen!
Bitte laden Sie auch noch das Wurzelzertifikat herunter.
(Nur für Privatrechner) Anleitung: (Wurzel-) CA-Zertifikate importieren
Diese Anleitung entfällt auf Rechnern, die vom CIT oder von einer IVV zentral gepflegt werden.
Diese Schritte brauchen nur ein einziges Mal durchgeführt zu werden. Wenn Sie eine neue digitale ID erhalten, brauchen Sie diese Schritte nicht zu wiederholen.
Öffnen Sie Adobe Acrobat Reader bzw. Adobe Acrobat Pro:
Öffnen Sie die Einstellungen:
Wählen Sie die Kategorie Vertrauensdienste und aktualisieren Sie die Adobe Approved Trust List (AATL):
Aktualisieren Sie auch die European Union Trusted Lists (EUTL):
Wählen Sie jetzt die Kategorie Unterschriften und bearbeiten Sie die Einstellungen für Identitäten und vertrauenswürdige Zertifikate:
Im Bereich Vertrauenswürdige Zertifikate klicken Sie bitte auf den blauen Importieren-Pfeil:
Wählen Sie die oben (oder hier) heruntergeladene P7B-Datei PDF-CA.p7b mit dem Wurzelzertifikat unserer eigenen PDF-CA aus:
Klicken Sie im oberen Fenster auf das gerade importierte Zertifikat, um es ins untere Fenster zu übernehmen:
Klicken Sie jetzt im unteren Fenster auf das gerade ausgewählte Zertifikat und bearbeiten Sie die Vertrauenswürdigkeit:
Setzen Sie die Häkchen, um das Zertifikat als vertrauenswürdigen Stamm für zertifizierte Dokumente zu verwenden, nicht aber die weiteren Häkchen:
Importieren Sie jetzt das Zertifikat:
Schließen Sie die Dialogfenster:
Schließen Sie den Adobe Acrobat:
Damit ist die Einrichtung der Wurzelzertifikate abgeschlossen.
Weitere CA-Zertifikate
Es wäre denkbar, auf die gleiche Weise P7B-Dateien weiterer CA-Zertifikate (nicht nur Wurzelzertifikate) als Vertrauenswürdige Zertifikate zu importieren:
T-TeleSec GlobalRoot Class 2
(empfohlen, wurde vor Einrichtung der PDF-CA verwendet)DFN-Verein Community Root CA 2022
(empfohlen, wird von anderen Hochschulen anstelle unserer PDF-CA verwendet)GEANT Personal CA 4
(nicht empfohlen!)GEANT Personal ECC CA 4
(nicht empfohlen!)
Das sollten Sie aber nur dann tun, wenn Sie explizit Dokumente prüfen möchten, die mit digitalen IDs signiert wurden, die eigentlich für E-Mail-Signaturen gedacht sind.
(Nur für Systemverwalter) Anleitung: (Wurzel-) CA-Zertifikate verteilen
Diese Anleitung gilt nur für Systemverwalter, die mehrere Rechner betreuen.
Falls Sie mehrere Installationen von Adobe Acrobat vornehmen müssen, reicht es, die (Wurzel-) CA-Zertifikate wie oben beschrieben auf einem einzigen Rechner mit einem frisch installierten Adobe Acrobat zu importieren. (Die Installation sollte noch keinerlei persönlichen Daten enthalten!)
Anschließend ermitteln Sie die Datei addressbook.acrodata, in der Adobe Acrobat die vorgenommenen Einstellungen gespeichert hat:
Bei Installieren von Adobe Acrobat auf anderen Rechnern kopieren Sie auch diese Datei in den (ggf. neu anzulegenden) Ordner
C:\ProgramData\Adobe\Acrobat\DC\Security\
.Auf MacOS-Systemen wäre die Datei für jede lokale Kennung hier abzulegen:
/Users/$USER/Library/Application Support/Adobe/Acrobat/DC/Security/addressbook.acrodata
Anleitung: Digitale ID importieren
Um eigene PDF-Dateien unterschreiben zu können, müssen Sie Ihre digitale ID importieren.
Öffnen Sie Adobe Acrobat Reader bzw. Adobe Acrobat Pro:
Im Menü „Bearbeiten“ klicken Sie auf den Punkt „Einstellungen“:
Wählen Sie die Kategorie „Unterschriften“ und klicken Sie unter „Identitäten und vertrauenswürdige Zertifikate“ auf „Weitere“:
Under „Digitale IDs“ wählen Sie den Bereich „Digitale ID-Dateien“ and dann klicken Sie oben auf „Datei anhängen“:
Wählen Sie die Datei mit Ihrer digitalen ID aus und klicken Sie auf „Öffnen“:
Um die verschlüsselte Datei öffnen zu können, müssen Sie das Passwort eingeben:
Ihre digitale ID sollte jetzt in der Liste auftauchen. Sie können alle offenen Dialogfenster jetzt schließen:
Anleitung: PDF-Datei elektronisch unterschreiben
Öffnen Sie Adobe Acrobat Reader bzw. Adobe Acrobat Pro und darin die zu unterschreibende Datei:
Klicken Sie dann auf „Werkzeuge“:
Öffnen Sie das Werkzeug „Zertifikate“:
Klicken Sie in der so hinzugefügten Werkzeugzeile auf „Digital unterschreiben“:
Falls ein Hinweisfenster erscheint, schließen Sie es mit „OK“:
Ziehen Sie jetzt mit der Maus ein Rechteck dorthin, wo in der PDF-Datei Informationen über die elektronische Signatur eingeblendet werden sollen:
Wählen Sie in der dann erscheinen Dialogbox Ihre digitale ID aus und klicken Sie auf „Weiter“:
Sie können (hier nicht beschrieben) das Aussehen der in das signierte Dokument eingefügten Einblendung beeinflussen.
Um die Datei tatsächlich zu unterschreiben, geben Sie das Passwort Ihrer digitalen ID und klicken Sie auf „Unterschreiben“:
Wählen Sie aus, wo und unter welchem Namen die unterschriebene PDF-Datei abgespeichert werden soll, und klicken Sie auf „Speichern“. Sie sollten den voreingestellten Dateinamen ändern, denn sonst wird die ursprüngliche Datei überschrieben:
Jetzt wird die unterschriebene Datei mit der Einblendung angezeigt. Diese Einblendung beschreibt die Eigenschaften der elektronischen Unterschrift. Die elektronische Unterschrift selbst ist unsichtbar.
Sie können die Werkzeugleiste jetzt schließen:
Um weitere Einzelheiten zur elektronischen Unterschrift anzuzeigen, klicken Sie auf die Einblendung:
Anleitung: Elektronische Unterschrift einer PDF-Datei prüfen
Eigentlich brauchen Sie überhaupt nichts zu tun, da Acrobat Reader und Acrobat Pro jede elektronische Unterschrift automatisch prüfen und das Ergebnis anzeigen.
Sie können aber auf „Unterschriftsfenster“ klicken, um weitere Informationen abzurufen:
Klappen Sie die Baumstruktur auf, um die verschiedenen Informationen anzuzeigen. Einzelheiten zum Unterschreiber finden Sie unter „Zertifikatdetails“:
Test-PDF-Dateien
Diese sechs Dateien sind mit digitalen IDs signiert, die von unterschiedlichen Stellen ausgestellt wurden. Nur die angegebenen Signaturen sollten als gültig akzeptiert werden:
Qualifizierte Signatur – immer gültig
Signatur mit PDF-ID – gültig in der Universität Münster
Signatur mit DFN-Global-ID – gültig im Deutschen Forschungsnetz
Signatur mit DFN-Community-ID – gültig im Deutschen Forschungsnetz
Signatur mit GÉANT-TCS-ID – ungültig
Signatur mit selbstsignierter ID – immer ungültig
Welche Signaturen als gültig angezeigt werden, hängt davon ab, ob das jeweilige (Wurzel-) CA-Zertifikat importiert wurde (siehe oben).
(Nur für spezielle Anwendungen) Weitere Anleitungen
Diese Anleitungen gelten nur für die angegebenen Situationen.
Nur für PHP-Programmierung:
Anleitung: Signiertes PDF-Dokument mit PHP erzeugen
Weiterer Hinweis
Anders als bei digitalen IDs für E-Mails sollten Sie keine Sicherungskopien der digitalen ID aufbewahren:
Digitale IDs für E-Mails werden auch nach langer Zeit noch benötigt, um damit verschlüsselte E-Mails zu entschlüsseln.
Digitale IDs zum Unterschreiben von Dokumenten können hingegen jederzeit durch neue digitale IDs ersetzt werden, weil sie nicht zum Verschlüsseln verwendet werden.
Leider liefert der Hersteller Adobe Systems seine Software Acrobat Reader und Acrobat Pro mit Einstellungen aus, welche die Nutzung unserer normalen digitalen E-Mail- und WWW-IDs zum elektronischen Unterschreiben von PDF-Dokumenten explizit verhindern. Es ist möglich, diese Einstellungen zu ändern. Allerdings müssen sowohl diejenigen, die PDF-Dokumente signieren möchten, als auch diejenigen, die die so erstellten PDF-Signaturen prüfen möchten, diese Einstellungsänderungen vornehmen. Außerdem werden einige Einstellungsänderungen bei jedem Update von Adobe zurückgesetzt.
Um zu verhindern, dass ein unvorbereiteter Empfänger einer PDF-Datei durch eine Unterschrift-ungültig-Warnung abgeschreckt wird, können wir nur dringend empfehlen:
Bitte verwenden Sie unsere für E-Mail und WWW bestimmten digitalen IDs niemals zum Unterschreiben von PDF-Dateien!
Verwenden Sie für alle universitätsinternen PDF-Dokumente stattdessen bitte wie oben beschrieben digitale IDs unserer eigenen PDF-CA.
(Alle Systemverwalter der Universität werden gebeten, alle Installationen von Adobe Acrobat wie oben beschrieben mit dem Wurzelzertifikat der PDF-CA zu versorgen.)
Bitte verzichten Sie darauf, PDF-Dokumente zu unterschreiben, die an Stellen außerhalb der Universität Münster weitergeleitet werden!
Es gibt eine einfache Alternative: Signieren Sie nicht die PDF-Datei, sondern die E-Mail, mit der Sie die PDF-Datei versenden.
Falls Sie wirklich im Auftrag der Universität signierte PDF-Dateien an externe Stellen versenden müssen, benötigen Sie teure qualifizierte Signierkarten und spezielle Hard- und Software. Bei konkretem Bedarf wenden Sie sich bitte an den IT-Servicedesk für die Universitätsverwaltung.
Beim Überprüfen von PDF-Signaturen beachten Sie bitte auch:
Bevor Sie Fremdsoftware zum Überprüfen von PDF-Signaturen einsetzen, beachten Sie bitte unbedingt die Hinweise auf https://www.pdf-insecurity.org/.
Falls Sie PDF-Signaturen prüfen, die mit fremden digitalen IDs erstellt wurden, beachten Sie bitte, dass Zertifizierungsstellen abgelaufene Zertifikate aus ihren Widerruflisten löschen dürfen. Das heißt: Wenn Sie eine Signatur prüfen, die mit einer gesperrten und inzwischen abgelaufenen digitalen ID erstellt wurde, kann Ihnen die Signatur fälschlich als gültig angezeigt werden!
Bei unserer PDF-CA kann das nicht passieren, denn diese löscht niemals Zertifkate aus Widerruflisten.