GUI版設定プログラム

最終更新日:2011/3/30

概要

PDF電子署名設定

GUI版設定プログラムは電子署名モジュールの処理パラメータを対話的に設定するための便利ツールです。起動すると左の画面になります。

GUI版設定プログラムは、設定項目を「署名の基本情報設定」「外観と証明書設定」「セキュリティの設定」「検証に関する設定」の4つのグループに分けてタブに割り当てています。

設定ファイル

GUI版設定プログラムで設定した内容は、「保存して終了」ボタンを押すと設定ファイルに保存されます。

Windows証明書にある署名用証明書を使うときは設定ファイルは1種類のみです。PFX/PKCS#12ファイルを使うときは、任意の設定ファイルを切り替えて使うことができます。

署名の基本情報設定

署名の種類、署名フィールドの位置、署名に外観を付けるかどうか、タイムスタンプを付けるかどうかなど、署名処理モジュールが、PDFに署名を付加するための基本情報を設定します。

署名の種類

PDF電子署名の種類として次のいづれかを設定できます。

【解説】
PDF電子署名は、PDFの対話フォームの一種である署名フィールドを作成し、それを埋めることにより作成します。本製品では、①未署名の署名フィールドを作成すること、②既存の未署名の署名フィールドに署名をすること、③新しい署名フィールドの作成と署名を一括で行うことができます。
本製品で作成した未署名の署名フィールドに、Acrobat 7/8/9/Xで署名することができます。また逆に、Acrobat 7/8/9/Xで未署名の署名フィールドを作成し、本製品で署名することもできます。

MDP署名では、署名後にPDFを変更できるかどうか、その制限についても設定できます。

署名フィールドの名前

署名フィールドには名前をつけて識別します。

【解説】
署名処理プログラムで、①署名フィールドを作成する、または、③新しい署名フィールドの作成と署名を一括で行う場合、署名フィールド名を設定する必要があります。②既存の未署名の署名フィールドに署名をする場合は、入力PDFには指定した名前と一致する署名フィールドが存在する必要があります。

外観種類

署名に外観を付けるかどうか、つける場合どのような外観をつけるかを指定します。

外観種類

PDF 電子署名では署名に外観をつけたり、つけなかったり(「不可視署名」)できます。この外観種類をリストボックスから選択します。

【解説】
PDF電子署名では、PDF注釈の一つであるWidget注釈機能を使用して電子署名の外観を設定します。本製品は、このWidget注釈による署名外観を設定できます。
また、署名と印影画像をセットにして設定しておき、署名処理モジュールでPDFに不可視署名をすると同時に印影画像をPDFへ透かしとして埋め込むこともできます。これを「署名の画像埋め込み」と呼びます。署名の画像埋め込みは不可視署名ですのでAdobe Readerなどでは不可視署名として扱われます。しかし、印影も埋め込まれますので、署名したことを視覚的に認識もできます。なお、署名の画像埋め込みは、不可視署名であると同時に画像を埋め込む領域を指定しますので、既存署名フィールドへの署名や署名フィールドのみを作成することはできません。署名フィールドを新規作成するのと同時に署名付与を行いPDFファイルを出力するときのみ使えます。

署名フィールドの位置と大きさ

署名フィールドを作成する位置を、ページとページ内の座標で指定します。

ページ
ページ番号(1以上の正の整数値)
X座標1、X座標2、Y座標1、Y座標2
外観矩形の情報をポイント(1/72インチ)単位で指定します。原点は用紙の左下隅です。
署名フィールド位置の例

署名フィールドのダイヤログの入力例と、その設定によりPDFに署名フィールドのみを作成してAdobe Readerで署名フィールドの表示している例を左図に示します。

【解説】
外観のページ番号とページ内の位置が有効になるのは、次のいづれかの場合です。
  • 可視署名フィールドを作成する
  • 外観あり-Widget注釈で外観を付ける(可視署名フィールド)
  • 外観あり-指定位置に画像(印影)を埋め込み(不可視署名フィールド)

署名証明書の証明書チェーン

署名者の証明書の証明書チェーンをPDFに埋め込むかどうかチェックします。

【解説】
PDF電子署名では、署名に使用した秘密鍵に対応する証明書をPDF中に署名データの一部として埋め込みます。このとき、PDF中に埋め込む電子証明書の証明書検証チェーンも署名データ内に埋め込むかどうかを指定できます。本製品ではWindowsの証明書ストアにルート証明書および中間証明書が入っているときに、証明書検証チェーンを埋め込むことができます。
注意: 本製品では、PDF電子署名に使用した証明書の失効情報は埋め込みません。

署名辞書の署名情報

PDF内の署名辞書に埋め込む署名者の情報を指定します。

タイムスタンプを含むか

PDFに電子署名を付ける時、タイムスタンプを署名データに含むことができます。タイムスタンプを含むかどうかを設定します。「商用タイムスタンプ対応」もご参照ください。

タイムスタンプのURL

タイムスタンプを付ける場合、タイムスタンプサーバのURLを設定します。

タイムスタンプの基本認証

タイムスタンプサーバが、認証のためにユーザIDとパスワードを要求するときは、それぞれを設定します。

外観と証明書設定

署名に使用する証明書、および署名の外観に使用するグラフィックス・ファイルや外観のテキストを設定します。

証明書の設定

電子署名を付与するには、対応する秘密鍵をもつ証明書が必要です。本製品では署名に使用する電子証明書は、Windows証明書ストアに保管されているものか、または、PFX/PKCS#12ファイルの証明書を使うことができます。

証明書の設定

GUI設定プログラムでは署名に使用する証明書を指定し、設定ファイルに反映します。このために、次の機能があります。各機能はダイヤログのボタンを押すことで使用します。

詳細表示
Windows証明書ストア内の選択された電子証明書の詳細情報を表示します。
証明書ストア
個人の証明書

証明書ストアボタンを押すと、Windowsの証明書ストアに登録されている個人の証明書(対応する秘密鍵をもつ証明書)の一覧を表示します。その中から電子署名に使用する証明書を選択します。

PFXファイル
PFX/PKCS#12ファイル(Windowsでは拡張子PFX)形式で提供されている秘密鍵と電子証明書を指定します。指定したファイルのフルパスが設定ファイルに保存されます。秘密鍵を使うためにはパスワードが必要ですが、パスワードは漏洩すると致命的なため、設定ファイルには保存しません。毎回APIで指定してください。
自己証明書の発行
自己署名証明書の作成 本製品では独自に自己署名方式の証明書を発行することもできます。新規作成ボタンを押すと自己署名方式の 対応する秘密鍵をもつ証明書を発行し、Windowsの証明書ストアに保存します。

外観のグラフィックス設定

署名に外観をつける場合に、そのグラフィックスを指定します。グラフィックス・ファイル名か、証明書所有者の名前を指定できます。

グラフィックスの有無の設定

グラフックスの有無について、ファイル指定、証明書の名前、グラフィックなしのどれかにチェックします。

【解説】
署名の外観の例 外観にWidget注釈を使う場合には使用可能な画像の形式はJPEG/GIF/BMP/PDFです。左の図は、外観のWidget注釈に、画像を使用する場合、証明書名を使用する場合、グラフィックなしの場合の外観の例です。上段が次項のテキスト設定をロゴ以外すべて使用する、下段が次項のテキスト設定すべて使用しないとしています。
署名の画像埋め込み 本製品独自の機能である署名の画像埋め込みを使う場合はJPEG/GIF/BMPが使用可能です。JPEG/GIF画像はそのまま署名したPDFの透かしとして埋め込みます。BMPは2値の画像に変換、印影部は朱色固定、印影部以外は透明となります。この機能は印鑑の印影として使う目的に限定されています。なお、署名の画像埋め込みではPDFを指定することができません。左の図は、署名の画像埋め込みを指定した例です。印影が付いていますが、Acrobat 8ではPDFに不可視署名があるものとして扱われます。

外観のテキスト設定

外観テキスト

PDFの電子署名にWidget注釈をつける場合に限り、外観のテキストとして、電子証明書記載の名前、署名場所、識別名、日付、理由、ラベル、ロゴを付加することができます。

名前
証明書の所有者名
日付
署名した年月日時刻
理由
「署名辞書の署名情報」で設定した署名の理由。
署名場所
「署名辞書の署名情報」で設定した署名の場所。
識別名
証明書の識別データ
【解説】
Widget注釈では署名に関連する情報をテキストとして署名の外観に追加できます。
グラフィックスを使用しない場合は外観のテキスト設定で指定した文字列の組合せのみ。グラフィックスを使用する場合はグラフィックスと外観のテキスト設定で指定したテキストをセットにして署名の外観を作成します。
ラベルは、各テキスト項目にラベルをつけて出力するかどうかを指定します。名前、日付、理由、署名場所、識別名と組み合わせたときに有効です。
「ロゴ」を指定しますと、アンテナハウスのロゴを署名の外観の背景として出力します。

セキュリティの設定

PDFへのセキュリティ設定、及びリニアライズの有無の設定をします。

セキュリティ設定の種別

セキュリティの種類

電子署名モジュールで設定するセキュリティの種類を選択します。

【解説】
パスワードによる暗号化は、ユーザパスワードまたはオーナーパスワードを設定してPDFの内容を暗号化する方式です。パスワードはPDFを閲読する対象者全員に共通ですので配布対象者別に権限を変更できません。
電子証明書による暗号化は、個人または他人の電子証明書にある公開鍵でPDFを暗号化する方式です。暗号化につかった公開鍵とペアの秘密鍵を持っている人だけが暗号を解いてPDFを閲覧できます。電子証明書を一度に多数設定できます。この機能を使うと配布対象者毎に権限を設定できます。

パスワード・セキュリティ設定

パスワードによる暗号化

文書を開くときに必要なパスワード、印刷/編集の権限パスワードを設定します。

文書を開くときにパスワードが必要をチェックしたらパスワードを入力します。また印刷/編集の権限パスワードにチェックしたらパスワードを入力し、さらに権限の内容を設定します。

【解説】
文書を開くときのパスワードはユーザパスワードと言います。また、印刷/編集の権限パスワードはオーナーパスワードと言い、ユーザに許可される権限が設定できます。PDFの閲読者には権限パスワードを入力しないと権限の変更ができません。

電子証明書によるセキュリティ設定

電子証明書を使ってセキュリティ設定する場合、PDFを配布する相手一人ひとりの電子証明書ごとに権限の設定をします。

証明書による暗号化

他人の証明書、個人の証明書のボタンを押すとWindows証明書ストアに入っている証明書の一覧を表示しますので、権限設定する証明書を選びます。

X.509形式の電子証明書を指定

ファイル・ボタンを押すとX.509形式の電子証明書を指定できます。

権限設定の有無

各証明書を選択して、権限設定ボタンを押し、権限を設定するかどうかをチェックします。

権限設定内容

権限を設定する場合は設定内容を選択します。

【解説】
本機能はISO 32000-1では、公開鍵セキュリティハンドラといっているものです。電子証明書としては、信頼する他人の証明書(秘密鍵なし)、個人の証明書(秘密鍵あり)、外部ファイル(X.509形式の電子証明書)を指定することができます。

この機能を利用したツールとして、「公開鍵セキュリティ設定ツール」を提供しています。本製品の正式ライセンスをお持ちの方は、無償でご利用いただくことができます。

注意: 電子証明書でセキュリティ設定したPDFは、その電子証明書に対応する秘密鍵を保有していないと閲覧できません。もし、オリジナルPDFに他人の電子証明書でセキュリティを設定しますと、オリジナル所有者自身にもそのPDFを開くことができなくなります。このためオリジナルPDFは必ず保存するように注意してください。

リニアライズの設定

電子署名モジュールが出力するPDFをリニアライズするかどうか設定します。

検証に関する設定

電子署名モジュールで、署名時に検証する項目と、署名後のPDFを検証する時に検証する項目をなどを設定します。

署名時の証明書検証

署名データ検証時の証明書検証フラグ

PDFに電子署名をする時は、署名の時点での証明書の有効性を検証する必要があります。その検証方法の設定ができます。

  • ルート証明書の信頼性を確認するかどうか
  • 失効リスト(CRL)とOCSPによる失効検証を行うかどうか
  • 失効リスト(CRL)のキャッシュを利用するかどうか
  • 失効リスト(CRL)の検証にLDAPを利用するかどうか
【解説】
「ルート証明書の信頼性を確認」がチェックされていると、PDF電子署名モジュールは証明書チェーンの最後になるルート証明書が、Windows証明書ストアの「信頼されたルート証明機関」に入っているかどうかを判定します。自己署名の証明書を使っている場合にはこのチェックを外して使うか、自分でWindows証明書ストアの「信頼されたルート証明機関」にその証明書を入れる必要があります。
「失効リスト(CRL)とOCSPによる失効検証を行う」は、証明書を発行した認証局がCRLを提供している時、認証局サーバからCRLを取得して失効しているかどうかの確認を行います。また、OCSPレスポンダを提供している時、OCSPレスポンダに有効性を問い合わせて検証します。認証局が両方の検証方法を提供しているときは、OCSP検証を優先します。
「失効リスト(CRL)キャッシュを利用する」がチェックされていると既に取得済み(キャッシュに残っている)で、CRLの有効期限前であればサーバに取得に行かずにキャッシュファイルを利用します。CRLの有効期限とは「次の更新予定」の日時前まで有効と判断します。

署名データ検証時の証明書検証

ルート証明書の信頼性を確認するかどうか

署名データ検証時の証明書検証設定ができます。

  • ルート証明書の信頼性を確認するかどうか
  • 失効リスト(CRL)とOCSPによる失効検証を行うかどうか
  • 失効リスト(CRL)のキャッシュを利用するかどうか
  • 失効リスト(CRL)検証にLDAPを利用するかどうか
  • 署名日時(タイムスタンプ等)で証明書を検証するかどうか
【解説】
PDF電子署名モジュールで、PDFに付けられた署名を検証するときの設定です。「ルート証明書の信頼性を確認するか」、「失効リスト(CRL)とOCSPによる失効検証を行う」、「失効リスト(CRL)のキャッシュを利用する」は署名時の証明書検証と同じです。
「署名日時(タイムスタンプ等)で証明書を検証する」は検証時のみの設定項目です。
署名証明書は署名時点では単にその時に有効であれば良いのですが、署名データ検証時には、署名をした時点でその署名証明書が有効であれば良いことになります。署名時間はタイムスタンプがあればタイムスタンプの時間を、タイムスタンプが無ければPDFの署名辞書に記録されている署名日時を利用します。
「署名日時(タイムスタンプ等)で証明書を検証する」をセットしなければ現在の時刻で署名証明書が有効かどうかのチェックをします。

Copyright © 1996-2011 Antenna House, Inc. All right reserved.
Antenna House is a trademark of Antenna House, Inc.