Pdf itext数字签名白皮书：第68页：两个证书可能会让用户非常困惑

0）我不确定我是否正确阅读了白皮书，其中有一章是关于证书颁发机构的，因此我假设白皮书会教我如何对pdf进行数字签名。但第68页似乎只显示文件已签署，但没有“证明文件”是真实的

我正在读这篇文章的第68页

我还想评论一下，这两个签名可能会让任何看pdf的人感到困惑。我的最终用户会问的第一个困惑是：

a） 为什么有两个证书（我已经读过了，并且理解了为什么有两个证书），一个说一件事，另一个说另一件事

令人担忧的是，Bruno Lowagie的证书被标记为不受信任的“签名文档或数据”，pdf被标记为不受信任的“认证文档”。我想说的是，当最终用户点击证书并看到其中一个是可信的，而另一个不是可信的时，他们会感到非常困惑。图3.3与3.4。第68页

证书按如下方式对齐：

Cert Signing Authority <supp
Bruno Lowagie <bruno@low

在这里，您可以单击上面的任意级别Adobe Root CA、GlobalSign CA for Adobe及其公司名称；他们都说证书被信任来“签署文档或数据，认证文档。”这种一致性是有意义的

我还没有使用过这些代码，但是否可以使用itext并使其看起来像我朋友的示例pdf中看到的那样

---

如果我要支付itext许可证的费用，我想确保我能够以编程方式使用CA证书对pdf进行数字签名，并且信任看起来都是一致的，这是有道理的。

如果只有一个证书，您将面临一个自签名的证书自签名证书不得用于签署文档。唯一应该信任的自签名证书是证书颁发机构的根证书（例如Adobe根证书、GlobalSign根证书等）

这些证书被保存在一个高度安全的保险库中。他们从未被用来签署文件。它们用于颁发中间证书

在您的示例中，您提到了“Adobe根CA”。GlobalSign向Adobe支付了大量资金，让Adobe使用此证书颁发中间证书“GlobalSign CA for Adobe”。GlobalSign通过使用此证书为购买HSM或USB令牌的公司颁发证书来赚钱（对于USB令牌，证书链中甚至还有一个额外的证书）

这就是它的工作原理。如果你读过我的白皮书，你就错过了解释证书颁发机构（CA）概念的部分。如果您向我发送一份已签名的文档，我将不查看CA颁发的证书，我将不接受您的文档。我要求您使用认证文档服务（CDS）下的证书，并且Adobe的证书位于根目录下，或者我要求您使用根目录下的证书，根目录下的证书可以在Adobe的Approved Trusted List（AATL）中找到

如果我只在证书链中看到您的公司名称，我不会接受您的文档。你声称当我看到Adobe或GlobalSign的证书时会感到困惑，这是错误的。相反，我需要查看CA的证书才能信任您的签名

自签名证书永远不会自动生成绿色复选标记。要自动获得绿色复选标记，您需要CA颁发的证书。此CA应该是CDS或AATL的成员。这意味着证书需要达到或超过FIPS 140-1 2级。这意味着您需要投资硬件安全模块（HSM）或USB令牌。 使用软件证书（PKCS#12）（不使用iText，也不使用任何其他软件）无法成功获得自动受信任的“绿色复选标记”签名

HSM：

USB令牌：

---

Bruno，谢谢你的时间和解释。我会完成你的白皮书，然后回来检查这个线程作为答案。我倾向于先吸收一切。如果我现在检查一下，以后还有更多问题，为了澄清，我不确定你是否可以添加或编辑你的答复。我应该在问问题之前完成你的白皮书。你的白皮书非常有用！没有你的白皮书，我不知道人们会从哪里开始了解这类东西。再次感谢。

Adobe Root CA
    GlobalSign CA for Adobe
          HIS COMPANY NAME