Hi Leute,

aktuell suche ich nach einem Tool, alternativ zu dem im Titel genannten.
Versteht mich nicht falsch, sollte ich die Produkte täglich mehrfach nutzen, würde ich die Kosten als gerechtfertigt ansehen, dies ist jedoch nicht der Fall.

Was für alternativen gibt es für OSX oder WIN, die ähnliche Funktionalität anbieten?

• konvertieren von PDF in Word, Excel usw.
• Beschreibbare PDFs erstellen
• Signieren von Dokumenten
• PDF speichern als PDF/A

Ich freue mich auf eure Vorschläge

Vielen Dank für deine Erläuterungen. Für mich reicht ein Unterschriftsfeld. Erstmal geht es mir ganz egoistisch darum, dass meine Unterschrift sicher ist. Insofern ist Acrobat Reader mich die Lösung. Ich werde das mal in der Praxis testen.
Wenn es das gleiche Produkt ist, aber unterschiedlich gut validiert, verwässert es dann nicht die Qualität und Glaubwürdigkeit also das Vertrauen in das Produkt insgesamt? Ich glaube, ich warte mal wirklich ab, was das Ergebnis bei dir ist.

Entweder ist eine der Beschreibungen fehlerhaft oder es ist eben nicht dasselbe Produkt. Wie gesagt: Chaos!
Ja, wenn das nicht dringend bei Dir ist, ist das sicher die beste Idee. Irgendwann in diesem Jahr werde ich mein Zertifikat ja wohl noch erhalten und dann hier berichten.

Ich habe übrigens noch mal bei D-Trust angerufen und für den Fall der Fälle gefragt, wie das denn nun mit den qualifizierten Zertifikaten (mit Signaturkarte) für den Mac aussieht. Antwort: Geht noch nicht, aber man arbeite daran …

Ich habe jetzt mal testweise den Bestellprozess bei der von Dir verlinkten PSW Group begonnen, und die wollen in der Tat eine Kopie des Personalausweises, also Identitätsvalidierung, aber als Datei hochgeladen.

Insofern könnte es tatsächlich sein, dass der Bestellprozess für dasselbe Produkt dort nur ein paar Tage statt ein halbes Jahr dauert, ohne Versenden von Papierbriefen auskommt und 40% billiger ist.

Das hätte ich gerne schon vor 10 Tagen gewusst, als ich bei D-Trust den ganzen Prozess von vorne gestartet habe.

Jedenfalls gut, dass Du diese alternative Quelle aufgetan hast!

Ja, es ist tatsächlich nur für Emails gedacht. Für richtige Document-Signing-Zertifikate, mit denen also die hier thematisierten PDFs signiert werden, werden dann schon ganz andere Preise aufgerufen: Es geht los mit 349,– € pro Jahr, das ist schon eine Hausnummer! Dafür bekommt man aber auch einen schönen USB-Token, den man für das Signieren und Unterschreiben benötigt. Das Verfahren steht auch auf der Adobe Approved Trust-Liste, wird also von Adobe-Produkten (und wahrscheinlich also auch den Mitbewerbern) akzeptiert.

In der Tat. Aber bei 349,– € für's Unterschreiben ein paar Rechnungen steige ich gar nicht erst ein. Wenn die hintere Ziffer wegfallen würde, kann man drüber reden…

Auf jeden Fall habe ich in diesem Thread schon über das Thema gelernt. Tolles Forum. Danke!

Ich bin mal in die Bestellung über PSW eingestiegen. Ich hänge schon am ersten Schritt, dass ich ein CSR einfügen soll. Um meine anschließende Irrfahrt durch das Internet hier nicht auszudehnen, kurz die Fragen:
Über Zertifikatserstellung mit Mac Schlüsselbund geht es nicht? Mir erscheint das nach diversen Versuchen als Sackgasse. Immerhin habe ich gelernt, dass es sowas wie Zertifikatserstellung auf dem Mac gibt.
OpenSSL ist in nginx integriert. Sollte ich in einem Docker-Container auf der Synology nginx installieren und dann ein CSR erstellen? Einen anderen Linux- oder Microsoft-Server habe ich nicht und mit Mac oder online geht das offenbar nicht.
Bitte setzt mich mal auf die richtige Spur. Danke.

Es reicht nach meinem Verständnis eine qualifizierte elektronische Signatur, die ohne Zwei-Faktor-Authentifizierung auskommt. Mit 2FA ist es dann ein Document-Signing-Zertifikat.

Eigene Erfahrung oder welche Quelle?

Ich bin gerade bei weiteren Recherchen auf folgenden Satz gestoßen:
Dieser Satz ergibt nur Sinn, wenn prinzipiell auch fortgeschrittene (und nicht nur qualifizierte) Signaturen zum Signieren von PDFs verwendet werden können, solange sie dem „AATL Standard“ gehorchen (vermutlich eine weitere Gelddrucklizenz für Adobe). Welche das nun sind, das ist die große Frage, denn von Adobe her werden nur Hersteller (und nicht einzelne Produkte) genannt, die AATL-kompatibel sind (so eben z.B. D-Trust), bei D-Trust wiederum steht bei den einzelnen Produkten nicht, ob die nun AATL-kompatibel sind.

Logische Konklusion: Das Advance Personal ID-Zertifikat, das fortgeschritten ist und von D-Trust selbst explizit als zum Unterzeichnen von Dokumenten geeignet beworben wird, könnte also AATL-kompatibel sein oder auch nicht. 🙄 Das wird sich nur durch Ausprobieren klären lassen, daher die Frage, ob Deine Aussage auf praktischer Erfahrung beruht.

Im übrigen ist aus meiner Sicht der rechtliche Status von diesem AATL völlig ungeklärt; Adobe ist schließlich kein Gesetzgeber. Und es fällt ja auf, dass Foxits PDF Editor die Signatur weit öfter als gültig erklärt als Acrobat Reader (siehe oben Tabelle Signatur-Validierung). Wer hat da nun recht?

Zur rechtlichen Differenzierung heißt es bei Wikipedia: und weiter: Das ist dann wohl die juristische Formulierung für lebensweltlich:

• Gaaanz wichtige Dokumente / vorgeschriebene Schriftform (5%) → qualifizierte Signatur ersetzt Unterschrift
• Wichtige Dokumente / freiwillige Schriftform (95%) → fortgeschrittene Signatur ersetzt Unterschrift

Folgender historische Exkurs fiel mir noch ins Auge: Wenn ich mich recht erinnere, ging es ab 2011 mit den PDF-Rechnungen richtig los.

Vermutlich brauchen wir entsprechend ein Signaturvereinfachungsgesetz mit verringerten Anforderungen an den Signaturvorgang. Dass die jetzigen Bestimmungen unter den Fittichen jenes Ministeriums liegen, das für die Sicherheit von Atomreaktoren zuständig ist (s.u.), sagt ja vielleicht einiges über den Überkanditelungskoeffizienten des ganzen Gesetzeswustes aus, den die Anbieter in diesem Bereich nur zu gerne für Preiswucher ausnutzen.

Wobei es laut Wikipedia möglich scheint, mit Hilfe seines elektronischen Personalausweises ein eigenes, selbsterstelltes Zertifikat zu einem qualifizierten zu machen: Das klingt irgendwie zu schön, um wahr zu sein; ich habe bislang noch nie davon gehört (obgleich es ja naheliegend ist) und kann daher auch noch nichts dazu sagen. Aber weitere Recherche in diese Richtung ist sicher geboten. AATL-kompatibel wären solche Zertifikate aber wohl kaum; Adobe wird das nicht so schnafte finden.
Das ganz sicher nicht. Das zuständige (sic!) Bundesministerium schreibt :Ich hätte gerne den Anbieter gekannt, der das für 120€ anbietet. Mit den 160€ ist wohl D-Trust gemeint und da eben das qualifizierte Zertifikat mit Signaturkarte; D-TRUST Card 4.1 kostet laut oben verlinkter Preisliste 159€ für 3 Jahre. Das ist nur unwesentlich teurer als die 99€ für 2 Jahre, die ich für das fortgeschrittene Zertifikat von D-Trust jetzt bleche. Aber das zugehörige Kartenlesegerät funktioniert bislang eben nur unter Windows.

Ja, das ist mir auch aufgefallen. Da hilft wohl ggf. nur ein Anruf beim Support dort. Bei der altmodischen Bundesdruckerei, zu der man Papierunterlagen schicken muss, gibt es dieses Problem dann wiederum nicht.
Ich habe auch keine Ahnung. Wie gesagt, anrufen. Die Telefonnummer steht ja groß da. Wohl aus gutem Grund.
Aber ist die SSEE nicht gerade der zweite Faktor? (Der Besitz des Zertifikats ist der erste.)

Laut dieser Seite ist das D-Trust Advanced Personal ID konform mit eIDAS und schon ein qualifiziertes Zertifikat. Während AATL für Adobe Approved Trust-Liste und einem Adobe-eigenen Standard setzt, der mit den von dir zitierten rechtlichen Anforderungen nichts zu tun hat.
Das ist der von Huba erwähnte USB-Token, dachte ich.

Ich dachte, USB Token und Kartenlesegerät sind zwei Varianten einer SSEE. Aber was weiß ich schon?

eIDAS ≠ qualifiziert. Das qualifiziert hängt an der SSEE. Und diese Webseite sagt zudem: Nur für Email

Whatever. Es ergibt keinen Sinn, da ewig weiterzuspüren; es gibt zu viele Widersprüche in den verschiedenen Angaben im Internet. Das wird nur die Praxis zeigen, wie sich das verhält. Wäre halt schön, wenn ich mein Zertifikat zum Testen schon hätte …

Ich wünsche Euch allen von ganzem Herzen gesegnete Weihnachten und ein frohes Osterfest!

Mich hat der Weihnachtshase reich beschenkt: Ich habe heute das am 28. April bei D-Trust bestellte fortgeschrittene Personenzertifikat samt PIN-Brief erhalten.

So kann ich nun die Zusammenarbeit mit den verschiedenen hier diskutierten PDF-Editoren testen. Ich werde dann hier berichten (der Test kann aber ein paar Tage dauern).

Sieht gut aus!

Hier der relevante Auszug der Zertifikatsdetails aus der Schlüsselbundverwaltung:



Und hier die Angaben aus Adobes Acrobat Reader:



Unterschriften in Acrobat Reader scheinen nach ersten Versuchen problemlos und zu 100% zu funktionieren.

Wie gesagt, Details folgen.

Die noch ausstehenden Tests beziehen sich ja darauf, wie die verschiedenen PDF-Editoren mit einem „richtigen“, d.h. funktionierenden „fortgeschrittenen“ Personenzertifikat umgehen.

Was das Zertifikat selbst betrifft, so kann ich jetzt schon sagen, dass das Advanced Personal ID-Zertifikat von D-Trust alle Anforderungen erfüllt, nachdem die Acrobat Reader-„Referenz“-Implementation von Adobe das Zertifikat vollständig anerkennt (auch als vertrauenswürdig laut AATL).

Meines Wissens ist damit dieses Zertifikat in Deutschland die einzige für kleine Unternehmen und auch für Privatleute bezahlbare Lösung; die Kosten belaufen sich auf 79/94€ (ohne/mit Umsatzsteuer) für 2 Jahre. Das Zertifikat wird gleichzeitig von macOS automatisch für die Signatur und Verschlüsselung von Emails mit der im Zertifikat hinterlegten Email-Adresse verwendet.

Das Zertifikat ist fortgeschritten, d.h., es ist rechtsgültig für alle Vereinbarungen, bei denen die Schriftform nicht gesetzlich zwingend vorgeschrieben ist (vorgeschrieben ist sie vorwiegend bei notariellen Verträgen).

Qualifizierte Zertifikate, die auch bei Vereinbarungen, bei denen die Schriftform gesetzlich zwingend vorgeschrieben ist, eine Unterschrift von Hand rechtsgültig ersetzen können, erfordern eine zusätzliche Hardware-Komponente (sichere Signaturerstellungseinheit (SSEE), z.B. Signaturkarte plus Kartenlesegerät); eine solche Lösung gibt es für macOS meines Wissens schlicht noch nicht.

Das Advanced Personal ID-Zertifikat von D-Trust scheint für Nutzung in macOS daher augenblicklich die optimale Lösung zu sein.

Die offensichtliche Crux ist die absurde Lieferzeit; selbst, wenn der PIN-Brief nicht das erste Mal verloren geht so wie bei mir, dauert es augenblicklich um die 6 Wochen. Man fragt sich schon, warum eigentlich alles, worin staatliche Behörden ihre Finger im Spiel haben, nur im Schneckentempo funktioniert, selbst in einem aus der Behörde Bundesdruckerei extra fürs digitale Zeitalter ausgegründeten Tochterunternehmen wie D-Trust.

Nachdem die D-Trust-Website es auch nicht gerade leicht macht, das Produkt überhaupt zu finden, hier nochmals die direkte URL zur Bestellung: . Man muss in einem Web-Formular ein paar wenige Angaben machen, ein von der Website daraus generiertes PDF ausdrucken, unterschreiben und mit einer Kopie des Personalausweises an D-Trust schicken.

marm hat ja möglicherweise eine alternative Bestellmöglichkeit für dieses Zertifikat bei PSW aufgetan , die nicht nur billiger ist (69€ statt 94€ für 2 Jahre), sondern angeblich schon nach wenigen Tagen geliefert wird. Allerdings sind sowohl er als auch ich schon beim Versuch, ein Kundenkonto anzulegen, an merkwürdigen Anforderungen gescheitert (man solle ein CSR einfügen, was auch immer das ist – dieses Problem gibt es bei direkter Bestellung bei D-Trust nicht).

Nachdem ich für das D-Trust-Zertifikat definitiv grünes Licht geben kann, vielleicht mag ja jemand, der sich auch für so ein Zertifikat interessiert, mal beim Support von PSW anrufen und fragen,

• ob es sich um das exakt selbe Zertifikat handelt, das man bei D-Trust direkt bestellen kann
• was es bei der Bestellung heißen soll, ein CSR einzufügen

Ich würde da gerne einen Versuch starten, weiß allerdings nicht, ob ich so ganz kurzfristig dazu komme. Das Interesse besteht weiterhin. Danke für deinen Bericht zum aktuellen Stand!

In der AusweisApp2 ist unter Anbieter/weitere Dienste der Anbieter sign-me aufgeführt. "sign-me" ermöglicht die Nutzung aller Signaturniveaus ... bis hin zur qualifizierten Online-Unterschrift". Dort wird zu verlinkt. Sign-me ist wiederum ein Service der D-Trust.

Könnte das auch ein alternativer Weg sein? Die Dokumente müssen wohl hochgeladen werden bzw. ein Hash-Wert.

Das ist ein völlig anderes Verfahren, das den Software as a Service-Hype nutzt und wo es tatsächlich eine ganze Reihe mit D-Trust konkurrierender Anbieter (u.a. Adobe selbst, natürlich perfekt im Adobe Reader integriert) gibt.

Abgesehen von der umständlicheren Handhabung (SMS-TAN und Smartphone sind neben dem Mac erforderlich) halte ich es für einen geradezu grotesken Ansatz, möglicherweise bedeutsame Dokumente zur Unterschrift einem Dritten zu überlassen, der sie prinzipiell völlig uneingeschränkt verändern könnte, bevor er sie schließlich in meinem Namen „unterschreibt“.

Aus meiner Sicht komplett indiskutabel, aber andere sind da offenkundig anderer Auffassung …

Falls die Zertifikatssignierungsanfrage (Certificate Signing Request) gemeint ist, siehe z.B. hier:

oder
(unten)

Ah, das könnte natürlich sein, danke! Wobei ein SSL-Zertifikat ja andere Angaben braucht als Personenzertifikat, würde ich vermuten. Müsste man sehen, ich habe das noch nie gemacht und kann es jetzt möglicherweise auch schlecht probieren, da ich ja gar kein zweites Zertifikat bestellen will.

Ich schaue mal, aber vermutlich müsste marm (oder wer immer ein Zertifikat bei PSW bestellen will) das dann probieren.

Nun habe ich bei PSW tatsächlich ein D-Trust Personal Advanced ID bestellt. Bei PSW ist die Beantragung in 15 Minuten erledigt. Mit Hilfe des ersten Links von lillylissy ließ sich der Certificate Signing Request schnell erstellen. Das hatte ich schon einmal probiert, aber ohne diese Anleitung wohl völlig missverstanden. Woher sollte ich auch wissen, dass bei Common Name die Domain eingetragen werden soll?

Als Laufzeit habe ich nur 1 Jahr gewählt. Ich bin noch unsicher, ob es sich für mich rentiert, da ich mehrere E-Mail-Adressen parallel gebrauche. So, mal abwarten, wie schnell geliefert wird.

10:38 Uhr, also rund eine Stunde nach Bestellung war das Zertifikat schon da.
Das CSR habe ich noch ausgetauscht, da Common Name doch mein Name ist. CRS-Tools gibt es auch in der Kontenverwaltung von PSW. Auch Adobe hat einen CSR-Generator integriert. Jetzt habe ich so viele CSRs in der Schlüsselbundverwaltung und auf der Festplatte - kann ich die alle löschen? Sind nur Requests...

Darf ich grün werden vor Neid? 🤢
Könntest Du vielleicht vollständig auflisten, welche Angaben genau Du in welchem Feld in dem erfolgreichen CSR machen musstest/letztlich gemacht hast? (Also natürlich mit sinngemäß den Angaben, Mein Name statt Deinem Namen etc.) Dann hätten wir eine genaue Vorlage, von der bekannt ist, dass sie für diesen Zweck funktioniert.
Gute Frage. Man sollte meinen, ja. Aber wie das immer so mit logischen Überlegungen ist … Ich würde vermutlich, was sich im Schlüsselbund befindet, vor dem Löschen sicherheitshalber exportieren und zusammen mit dem, was Du diesbezüglich sonst noch auf der Festplatte hast, vorläufig in ein komprimiertes Archiv stecken. Dann ist es nicht mehr zugänglich, also quasi wie gelöscht, aber falls sich dadurch irgendwelche Probleme ergeben, könntest Du die Daten doch wiederherstellen. Ich weiß nicht, ob das CSR, das Du letztlich verwendet hast, nächstes Jahr gegebenenfalls wiederverwendbar wäre – sind da irgendwelche „einmaligen“ Daten wie zum Beispiel das Datum drin? Falls wiederverwendbar, wäre es natürlich sinnvoll, das aufzuheben.
Da gibt es einen auffälligen Unterschied zu meinem Screenshot: Bei mir gibt es diesen sprachlich abgehackten Satz, in dem AATL aber explizit erwähnt wird, bei Dir gibt es einen sprachlich korrekten Satz, aber ohne AATL. Was ist denn Deine genaue Version vom Acrobat Reader? (Ich bin gerade nicht am Mac und kann erst später nachsehen, was meine ist.)

Du hast doch sicher ebenfalls drei Dateien erhalten: myCert_...cer, root_...cer und zwischen_....cer? Diese werden in das Schlüsselbund importiert. Dann muss ich sicherlich einstellen, dass ich diesen Zertifikaten vertraue. Aber dann passiert einfach nichts. Kein S/MIME in Mail.
Am Telefon wurde mir gesagt, dass ich auf dem Portal die Schlüssel über PEM in PKCS#12 in Verbindung mit meinem privaten Schlüssel konvertieren solle. Dafür muss ich ein Passwort eingeben, dass ich aber über den CSR-Generator gar nicht erhalte. Ich kapiere jetzt gar nichts mehr.

Je länger ich daran bastle, um so weniger funktioniert. Ich habe einen Ersatz des Zertifkats angefordert mit neuer CSR. Ich warte auf die Antwort und probiere einen Neustart.

Nö, ich habe eine einzige Datei erhalten namens Zertifikat.p12. Doppelklick auf die und Eingabe der via Briefpost erhaltenen PIN und das Ding war im Schlüsselbund (Zertifikat und privater Schlüssel und Wurzel- und Zwischenzertifikat (D-TRUST Root CA 3 2013 und D-TRUST Application Certificates CA 3-1 2013)). Email-Signierung und Verschlüsselung wurde daraufhin in Mail für die entsprechende Adresse automatisch angeboten und im Acrobat Reader konnte ich das Zertifikat für meine Signatur auswählen.

Also doch nicht dasselbe Produkt? Frag ggf. mal bei PSW nach, wie Du von den von Dir erhaltenen Dateien zu einer .p12-Datei gelangst.

PS: Meine Acrobat Reader-Version ist 2021.001.20145.

PKCS#12 ist das Dateiformat, das auf macOS das Suffix .p12 hat und auf Windows (aber wohl auch in macOS verwendbar) .pfx; insofern würde der Rat passen. Wie man von dem, was Du hast, über .pem dahin kommt, weiß ich aber auch nicht.

Man kann entweder online konvertieren oder openssl auf dem eigenen Rechner installieren und lokal konvertieren:
SSLplus-Wiki
OpenSSL Download
SSL-Zertifikate mit openssl konvertieren

Für rudimentäre "Pro"-Funktionen finde ich die Online-Tools von "iLovePDF" sehr gelungen.
https://www.ilovepdf.com/de

Mir hat PSW erneut ein Zertifikat zugesendet. Im Zertifikat-Konverter in der Kontenverwaltung von PSW habe ich das Zertifikat von PEM in PKCS#12 umgewandelt. Dazu wird die Datei myCert_Nummer.cer als Zertifikat hochgeladen, ebenso der Private Schlüssel (als certifkat.key) aus der CSR-Generierung und ein neues Passwort vergeben.
Anschließend lässt sich das Zertifikat im Schlüsselbund und bei Adobe hochladen.

Laut PSW am Telefon ist das kein Adobe-Zertifikat. Diese würden ab 400 Euro losgehen. Bei Adobe sieht das dann so aus:



Erst sind alle Haken rot. Die zwei grünen Checkboxen erhalte ich erst, wenn ich das zu den vertrauenswürdigen Zertifikaten hinzufüge. Mit folgender Warnung:



Das Zertifikat scheint aber für Signierung gedacht zu sein - oder ist das nur Signierung mit S/MIME in Word?



Ganz obskur finde ich E-Mail. Ich sende mir von meiner zertifizierten Mail selbst eine Mail an ein anderes Postfach. Dann sehe ich noch nicht, dass es eine signierte Mail ist, die angekommen ist, sondern erhalte folgenden Header:



Erst wenn ich dann "Details laden" bestätige, sehe ich im Header ganz unten die Signatur. Klappe ich den Header ein, blieb manchmal das Signaturzeichen und manchmal nicht. In Thunderbird, das ich extra installiert habe, wird es als S/MIME-Zertifikat akzeptiert.

Service-Geschwindigkeit und Freundlichkeit von PSW sind wirklich gut.

Wenn ich die Unterschrift unter ein digital unterschriebenes Dokument prüfen lasse, erhalte ich dies:

Common Name ist der eigene Name, kann aber laut Auskunft am Telefon auch die Firma sein. Das sei nicht so relevant. Für ein persönliches Zertifikat ist aber sicherlich der eigene Name sinnvoll.
E-Mail-Adresse sollte eingetragen werden, Stadt und Land. Mehr war nicht erforderlich.
Danach wird ein CSR und ein privater Schlüssel angezeigt. Beide sind zu kopieren und irgendwo zu sichern.
Der CSR-Text ist erforderlich zur Beantragung des Zertifikats. Aus dem privaten Schlüssel ist ein Text-File zu erstellen mit der Endung .key
Der private Schlüssel wird zur Erstellung des p12-Schlüssels benötigt, siehe oben.
Adobe Acrobat Reader DC Version 2021.005.20058

Was soll denn ein „Adobe-Zertifikat“ sein? Eines, das AATL-konform ist? Eines, das der Acrobat Reader zum Signieren akzeptiert? Beides ist bei meinem Zertifikat definitiv der Fall.

Ich verstehe das jetzt überhaupt nicht. PSW kann doch nicht als D-Trust Advanced Personal ID eine andere Art von Zertifikat als D-Trust anbieten?

Musstest Du bei Deinem Online-Antrag Dich denn in irgendeiner Form ausweisen (Scan vom Personalausweis, Video-Ident o.ä.)? Ohne Identitätsausweis Kanes nicht dasselbe Zertifikat sein.

Und auch sonst verstehe ich das mit CSR nicht wirklich:

Laut PSW sind die Pflichtangaben im CSR:

Welche Angaben muss mein CSR enthalten?

Pflichtangaben:

E-Mailvalidierte- und identitätsvalidierte-Zertifikate:

CN = Max Mustermann
OU = Max Mustermann
O = Max Mustermann
L = Stadt
S = Bundesland
C = Länderkürzerl (z.B. DE für Deutschland)
Email = max.mustermann@domain.tld

Aber viele dieser Angaben werden doch vom Zertifikatsassistenten in macOS gar nicht abgefragt? Das kann eigentlich schon von daher damit nicht funktionieren.
Naja, das ist logisch. Das ist dann nichts weiter als ein selbstsigniertes Zertifikat (meines Wissens – jedenfalls kann ich ein in der Schlüsselbundverwaltung selbsterzeugtes Zertifikat damit zu einem in Acrobat Reader gültigen Zertifikat machen), das nur auf Deinem Rechner validiert ist. Das soll wohl das direkt in Dieses Zertifikat ist in der Liste der vertrauenswürdigen Zertifikate direkt vertrauenswürdig heißen (schrecklich, wenn Unternehmen immer ihrer eigenen, unscharfen Formulierungen benutzen).
Nö, das steht in meinem Zertifikat ja exakt so wie in Deinem. Der Unterschied ist die AATL.


Auch das sollte natürlich nicht sein.
Hilft ja nix, wenn es nicht funktioniert. 🙄

Ah, Du hast also einen Online-Generator zur CSR-Generierung benutzt? Bei PSW? (URL?)
Sieht neuer aus als meine. Ich versuche später mal, das Ding zu aktualisieren, nicht, dass diese Zeile mit AATL bei mir an der Version hängt. Ich glaube aber eher nicht. Ich musste jedenfalls definitiv nicht auf Zu vertrauenswürdigen Zertifikaten hinzufügen … klicken.

Das sieht bei mir so aus:

Unterschied sind oben wieder der abgehackte Satz mit der AATL und unten die Informationen zum Aussteller. (Der Satz mit dem Zeitstempel kommt daher, dass ich im Acrobat Reader noch einen Zeitstempelserver eingetragen habe.)

Wenn ich auf Zertifikat des Ausstellers anzeigen … klicke, erhalte ich:

Wie sieht das bei Dir aus?

(Beachte die Zertifikatskette in der linken Seitenleiste!)

Ok, sieht so aus, als wäre eher dein Zertifikat das Schnäppchen. Auf der Seite der PSW Group unter Document Signing sind AATL-Zertifikate separat aufgelistet.

Aber die können doch nicht unter demselben Namen ein viel weniger leistungsfähiges Produkt vertreiben?

Die dort auf der Document Signing-Seite gelisteten Zertifikate scheinen eher qualifizierte Zertifikate zu sein (allerdings sind die bei D-Trust deutlich billiger), aber jedenfalls steht da unter den Vorteilen in der Tat explizit Adobe© Approved Trusted List (AATL), was im Umkehrschluss dann wohl heißt, dass bei den Zertifikaten, wo das nicht steht … 😳 Oje.

Aber ich verstehe das nicht wirklich. Das wäre doch hochgradig unseriös, wenn die hier was völlig anderes unter demselben Namen vertreiben?

Aber ich dachte in der Tat schon, ich musste Monate warten, bis das Zertifikat da war, aber dann ging alles mit einem Mausklick, während Du „mit 1 Mausklick“ das Zertifikat bekommen hast, aber Dir jetzt Monate technischer Kampf damit bevorstehen.


PS: Zur Sicherheit eines korrekten Vergleichs wollte ich den Acrobat Reader aktualisieren, aber das Update-Programm funktioniert nicht und bleibt jedes Mal hängen. Jeder, wirklich jeder außer Adobe kriegt einen Updater hin. Oh, wie ich diesen inkompetenten Haufen hasse!

Wird also noch dauern, aber das Problem scheint ja doch bei Deinem Zertifikat zu liegen.

Ich hab’s jetzt neu installiert, das ging schneller. 🙄

An den Ausgaben in den einzelnen diskutierten Dialogfenstern hat sich aber erwartungsgemäß nichts geändert (naja, die Änderung der fehlerhaften deutschen Lokalisierung hätte man ja vielleicht erwarten können, aber freilich nicht von Adobe …).

Adobe Acrobat Reader installiert eigenmächtig zwei Safari-Plug-In, um den Standard-Viewer zu ersetzen. Der von Adobe ist aber veraltet und langsam. Devonthink machte mich im Protokoll soeben darauf aufmerksam.
Die Plug-ins AdobePDFViewer.plugin und AdobePDFViewerNPAPI.plugin können hier /Library/Internet Plug-ins/ gelöscht werden.

Das passiert aber nur, wenn Du im Installationsprogramm den Schritt zur Anpassung der Installation überspringst, denn sonst kannst Du da das (in der Tat vorausgewählte) Safari-Plugin einfach abwählen und dann wird da gar nix installiert.

PSW hat bei D-Trust nachgefragt. Hier das Ergebnis:

Das ergibt ja nun alles mal wieder gleich mehrfach gar keinen Sinn (von PSWs Seite aus):

Du und ich haben doch beide den Acrobat Reader zum Testen benutzt; bei mir steht da, dass mein Zertifikat AATL-kompatibel ist, bei Dir aber nicht.

Behauptet PSW nach wie vor, ihr Zertifikat sei deckungsgleich mit dem von D-Trust, das ich habe? Das kann nach der Anzeige im Acrobat Reader eigentlich nicht der Fall sein.

Sodann ist die AATL selbstverständlich ein proprietäres Adobe-Ding (was bei so einer „offiziellen“ Funktion ein Unding für sich ist), aber natürlich prüfen andere PDF-Programme zumindest theoretisch die Unterschrift ebenso, halt nach dem bei Zertifikaten allgemein üblichen Verfahren der Rückverfolgung auf das Root-Zertifikat einer anerkannten Zertifizierungsstelle. D-Trust ist als solche anerkannt und das Root-Zertifikat von D-Trust ist in macOS enthalten und also auf allen Macs spätestens ab Mojave verfügbar.

Kannst du mal einen Screenshot von dem Root-Zertifikat machen? Vielleicht liegt es daran, wie ich mein Zertifikat in diesem Konverter zusammengebaut habe.

So sieht das bei mir in der Schlüsselbundverwaltung aus:



Die 2009er Zertifikate spielen hier keine Rolle.

Das 2013er Root-Zertifikat ist das entscheidende.

Ich habe mittlerweile meine Tests beendet (und muss nur noch die Zeit für den Bericht finden), aber da ich die Zertifikats-Validierungen der Test-PDFs gezielt in einem anderen Nutzerkonto, ohne jegliche nutzerspezifische Zertifikate und/oder Schlüssel, durchgeführt habe, kann ich mit Sicherheit sagen, dass zur Validierung einer PDF-Signatur das 2013er Application Certificate im nutzereigenen Anmeldung-Schlüsselbund nicht erforderlich ist. Ob es zum erfolgreichen Signieren erforderlich ist, kann ich im Augenblick nicht sagen; es wurde jedenfalls automatisch mitinstalliert, als ich die .p12-Datei mit meinem Signatur-Zertifikat von D-Trust zur Installation in meinem Anmeldung-Schlüsselbund doppelgeklickt habe.

Falls Dir ein oder beide von den Zertifikaten fehlen, hier sind die direkten Download-Links von D-Trust:
Root SHA-1Fingerprint=6c7ccce7d4ae515f9908cd3ff6e8c378df6fef97
Application SHA-1 Fingerprint: 1785b07501f0fceffc97c6b070c255a8a9b99f12

D-Trust Download-Seite mit den Fingerprints

Ist es (hab’s jetzt getestet); ohne das Application Certificate CA 3-1 2013 ist das Signatur-Zertifikat ungültig und kann nicht zum Signieren verwendet werden.

Zum Validieren der Signatur in einem signierten PDF (also Quasi auf der Empfängerseite) ist es aber wie gesagt nicht erforderlich.

Hat sich da denn nun was ergeben?

Ich habe das Zertifikat mit dem neuen Root Zertifikat zusammengesetzt. Der SHA-1 Fingerprint war allerdings identisch. Das neue Zertifikat ergibt auch keinen Hinweis auf AATL.

Die Zertifkatskette wie bei dir links im Bild fehlt bei mir. Beim allerersten Versuch sah ich solch eine Zertifikatskette, die und deren Umstände ich jetzt aber nicht mehr reproduziert bekomme. Bei mir steht links nur mein Zertifikat, mehr nicht.

Die Logik, die hinter der Struktur in Einstellungen/Unterschriften/"Identitäten und vertrauenswürdige Zertifikate" steckt ist für mich nicht eingängig. Sprich, keine Ahnung, was diese Gliederung soll.
Bei dir steht unten noch im Bild, dass eine Sperrungsüberprüfung durchgeführt wurde und Methode Shell. Das fehlt bei mir auch.

Was ist mit dem Application-Zertifikat? Hast Du das auch installiert? Ohne das kommt die AATL-Bestätigung nicht zustande.
Das dürfte daran liegen, dass Du Dein Zertifikat ja wohl manuell als vertrauenswürdig markiert hattest. Ab diesem Augenblick spielt die Zertifikatskette keine Rolle mehr und wird daher auch nicht angezeigt.

Wähle Dein Zertifikat mal in der Schlüsselbundverwaltung aus, öffne es mit Doppelklick und schaue, ob dort bei Vertrauen → Bei Verwendung dieses Zertifikats: das Popup Immer vertrauen ausgewählt ist. Falls ja, stelle es auf System-Standards verwenden zurück. Sieht die Anzeige im Acrobat Reader (nach App-Neustart) dann immer noch so aus?
Alles unter Digitale IDs Aufgelistete sind Identitäts-Zertifikate (und nicht Root- und Intermediate-Zertifizierungsinstanzen).

Die einzelnen Bereiche innerhalb Digitale IDs bezeichnen die verschiedenen möglichen Speicherorte der Zertifikate. Und da fängt das Problem schon an: In macOS sollte das die Schlüsselbundverwaltung sein, also Digitale Keychain-IDs. Bei Dir befindet sich Dein Zertifikat aber in Digitale ID-Dateien, d.h., Du hast es vermutlich direkt in Acrobat Reader importiert. Lösche es da wieder, installiere es (durch Doppelklick im Finder) in der Schlüsselbundverwaltung und starte Acrobat Reader neu. Dann sollte Dein Zertifikat im Acrobat Reader unter Digitale Keychain-IDs auftauchen.

Stelle in der Schlüsselbundverwaltung sicher, dass Dein Zertifikat bezüglich des Vertrauens auf System-Standards verwenden steht und dass in der Schlüsselbundverwaltung die beiden oben in meinen Screenshots abgebildeten D-Trust-Zertifikate ebenfalls vorhanden sind, im Anmeldung-Schlüsselbund oder im System-Roots-Schlüsselbund.

Wenn Dein Zertifikat OK ist, sollte es dann gehen (übrigens auch in Mail).

Vertrauenswürdige Zertifikate ist einfach eine Liste aller auf Deinem Mac installierten Zertifikate (in der Schlüsselbundverwaltung oder in den Acrobat Reader importiert) jedweder Art (Identitäts-Zertifikate, Root- und Intermediate-Zertifizierungsinstanzen, …), die vertrauenswürdig sind, also eine gültige Zertifikatskette haben und weder abgelaufen noch zurückgerufen worden sind.

Geschafft!
Mein Zertifikat ist nun auch AATL-konform. Es ist also nicht nur ein Glücksfall gewesen, sondern das D-Trust Advanced Personal ID ist stets konform.

Das Zertifikat stand nicht auf "stets vertrauen". Es kann allerdings gut sein, dass ich das beim ersten Versuch auf "immer vertrauen" gestellt hatte (Fehler 1). Dann hatte ich tatsächlich das Zertifikat in Adobe installiert und dort zur vertrauenswürdigen Liste hinzugefügt (Fehler 2).
Nun ließen sich meine Zertifikate in Adobe nicht löschen.

Also Adobe komplett gelöscht und zusätzlich noch mit EasyFind die verstreuten Einträge (unzählige!) getilgt.

Jetzt klappt es und alles sieht in Adobe aus wie bei Weia. Weia war so freundlich und hat bestätigt, dass ein signiertes pdf von mir bei ihm auch korrekt funktioniert. 👍🏻

Mail verhält sich weiter merkwürdig. Wenn ich mir selbst eine Mail sende, dann sehe ich das signiert-Häkchen nur, wenn ich den Header einmal auf- und zuklappe. In Thunderbird ist alles korrekt.

Wir haben dann noch festgestellt, dass ab BigSur (oder ggf. Catalina) Vorschau auch jpg in PDF/A umwandeln kann.

Zu guter letzt noch zu PDFpen 13. Ich bin nicht in der Lage eine ordentlich aussehende Unterschrift einzufügen. PDFpen akzeptiert die Unterschrift korrekt als AATL-signiert. Aber die Unerschrift selbst ist bei mir nur ein dicker Punkt. Mir ist es noch nicht gelungen, einen Stempel mit einer Signatur zu verknüpfen. Ich werde es nochmal bei Gelegenheit versuchen.

Juhu!
Au ja, das hatte ich während meiner Tests auch mal. 🥳 Adobe halt. 🙄 Wobei man der Fairness halber ja wirklich sagen muss, dass alles in allem der Acrobat Reader das Unterschriftenproblem wirklich gut und kostenlos löst.

Hier gilt es auch noch anzumerken, dass meine Annahme falsch war, mehr als eine Unterschrift im PDF ließe sich nur über Formularfelder lösen: Der Acrobat Reader kann auch das problemlos (man darf halt logischerweise das PDF vor der allerletzten Unterschrift noch nicht nach dem Unterschreiben sperren).

Solange es ums Unterschreiben geht, ist also der Acrobat Reader wirklich eine vollumfängliche Lösung und insofern sicher auch die beste, als Adobe die de-facto-Referenz darstellt, was im Falle von Rechtsstreitigkeiten ja durchaus relevant sein kann.

Wenn ich es schaffe, meine ganzen Testergebnisse zu den PDF-Editoren zu veröffentlichen, werde ich das glaube ich in einem neuen Thread tun, denn der hier ist ja unlesbar lang geworden. Ich setze dann hier aber natürlich noch eine entsprechende Nachricht rein.

Ich muss in das Thema. Ich möchte in erster Linie meine Mails signieren.
Ich habe kein Problem mit Kosten oder Adobe (CCloud vorhanden).

Wo soll ich das Zertifikat bestellen?
Finde ich hier im Thread Dalle Schritte, die ich machen muss?


Danke für die Zeitersparnis.

Weia und ich haben das Zertifikat D-Trust Advanced Personal ID. Mit diesem Zertifikat funktioniert die Signierung in Adobe Acrobat und anderen Programmen, zudem als S/MIME-Zertifikat. Zum kostenlosen Signieren reicht Acrobat Reader.

Die Bestellung bei PSW ist günstiger und schneller als direkt bei Bundesdruckerei bzw. D-Trust

Für die Beantragung muss ein CSR-Zertifikat erstellt werden. Daher
1. erst einen Account bei PSW einrichten
2. dann in den Tools ein Certificate Signing Request erstellen (»CSR-Generator«) und den privaten Schlüssel als txt-File sichern (Endung .cer?). Passwort merken.
3. das Zertifikat kaufen.

Du erhälst ein Zertifikat mycert_xy.cer, ein root-Zertifikat und ein Zwischenzertifikat.
Das Zertifikat muss konvertiert werden. Dazu gehst du in den PSW-Zertifikat-Konverter. Mit dem persönlichen Zertifikat, root-Zertifikat, dem privaten Schlüssel und dem Passwort konvertierst Du vom Format PEM zu PKCS#12. Das Zwischenzertifikat ist nicht erforderlichn.

Du erhälst als Download eine Datei mit der Endung pfx. Dieses p12-Zertifikat in das Schlüsselbund importieren.
Das war's. Kein Import des Zertifikats in Adobe. Dort sollte es nun als AATL-konform aufgeführt sein.

Für die Einrichtung in Mail muss nichts weiter unternommen werden. Signiert werden die ausgehenden Mails, für die du das Zertifikat beantragt hast.