Adobe Reader や Acrobat で電子署名を使う場合にまず設定して欲しいのが「Windows証明書ストア利用設定」です。以前本ブログでも書いたことがあるのですが、Acrobat-XIでは設定方法も変更されているので一度きちんとまとめておきます。なお同じ内容を
PDFファイルにしましたので、よろしければ
ダウンロードして再配布等自由にお使いください。
○ Adobe Reader X / Acrobat X以前のバージョン(Adobe Reader 7 / Acrobat 7以降)
1. メニューより [編集]-[環境設定] の環境設定画面を開く。
2. 分類 [セキュリティ] を選択して [詳細環境設定] をクリックして詳細環境設定画面を開く。
3. タブ [Windows統合] を選択して、全てのチェックボックスをオンにする。
※ Adobe Reader 6 / Acrbat 6の場合には、[編集]-[環境設定] から分類 [電子署名] を選択する。
○ Adobe Reader XI / Acrobat XIの場合
1. メニューより [編集]-[環境設定] の環境設定画面を開く。
2. 分類 [署名] を選択して [検証]-[詳細] をクリックして署名検証の環境設定画面を開く。
3. [Windows統合] グループの全てのチェックボックスをオンにする。
※ Adobe Reader XI / Acrobat XIからは「Windows証明書ストアからの証明書の取り込みと使用を有効にする」チェックボックスが無くなり標準で参照するように変更されたようだ。
◆ Adobe Reader / Acrobat のWindows統合をオンにする意味
証明書を検証する際には以下の3つの条件を満たす必要があります。この中で特に重要になるのはB) の「ルート証明書が信頼されていること」を確認することです。
A) ルート証明書までの証明書チェーン(認証パス)が構築できること。
B) ルート証明書が信頼されていること。
C) 証明書チェーンに含まれる全ての証明書が署名時点で失効していないこと。
どうやってルート証明書が信頼されている(トラストアンカー)かどうかを確認するかと言うと、信頼済みのルート証明書のリストから判断します。Windows版のAdobe Reader / Acrobatを使う際に利用可能な信頼済みのルート証明書のリストには以下の2種類があります。
・ Adobe CDS (ドキュメント認証サービス):標準で有効
Adobe社が管理する信頼済みのルート証明書のリスト。環境設定の信頼性管理マネージャで更新可能です。証明書ビューアの「信頼」タブより「信頼済み証明書に追加」することで独自に追加も可能です。
・ Windows証明書ストア:標準で無効
Windows標準のMicrosoft社が管理する信頼済みのルート証明書のリスト。他にも署名時に利用する個人証明書と秘密鍵等も管理している。Windows Updateで更新される。「インターネットオプション」の「コンテンツ」の「証明書」により新規追加や削除等の操作が可能です。
登録して貰うには、Adobe CDSはAdobe社の認定を受ける必要があり、Windows証明書ストアはMicrosoft社の認定を受ける必要があります。現在利用されている認証局(証明書の発行機関)のルート証明書の多くは、Adobe CDSには登録されておらず、Windows証明書ストアにのみ登録されています。2013年4月現在において、Adobe CDSプロバイダーとして登録されている認証局は6社のみです。他にも最近GPKI(政府認証基盤)のルート証明書も登録されました。
日本でPDFの電子署名を利用する場合には「特定認証局」や「商業登記証明書」等のルート証明書も登録されている事が望ましいのですが、一般にはWindows証明書ストアに登録する手順が公開されています。その意味ではAdobe Reader / Acrobatにおいても、Windows証明書ストアの利用を有効にする設定にしておいた方が良いでしょう。標準では無効になっていますので、本資料を読んでまずWindows証明書ストアの利用も有効になるように設定しましょう。
参考リンク1:Adobe社の
「ドキュメント認証サービス(CDS)」
参考リンク2:Microsoft社のTechNetより
「証明書ストアを表示する」