emeriks
Goto Top

Adobe Reader meckert Zertifikat an

Hi,
bei uns meckert der Adobe Reader neuerdings unsere Zertifikate an, wenn wir damit in Dokumenten unterschreiben wollen. Angeblich wären diese ungültig.
Entweder bin ich unfähig oder ich finde wirklich keine passenden Hinweise im Web, wenn ich nach der im Screenshot gekennzeichneten Meldung suche.

Adobe Reader DC Version 2020.009.20063

Kann jemand helfen?

E.

Edit:
Die Zertifikate der Stamm- und Zwischenzertifizierungsstellen sind am Client importiert. Windows zeigt die Zertifikate als gültig an.
2021-03-18 17_15_12-zertifikatanzeige

Content-ID: 664425

Url: https://administrator.de/forum/adobe-reader-meckert-zertifikat-an-664425.html

Ausgedruckt am: 09.04.2025 um 21:04 Uhr

147669
147669 18.03.2021 aktualisiert um 17:37:13 Uhr
Goto Top
Zeig mal den Reiter "Richtlinien" und die Zertifikats-Details (OIDs etc), die Meldung sagt normalerweise aus das die Policy diesen Vorgang einschränkt
Previously valid signing certificate shows invalid policy constraint in DC 2019

Gruß SK
DerWoWusste
DerWoWusste 18.03.2021 aktualisiert um 22:11:29 Uhr
Goto Top
Nebenbei: die Readerversion ist aktuell ca. 5 Updates weiter. Vielleicht ein Bug in Verbindung mit der Windows-Version. 20H1/H2 verhalten sich beim digitalen Signieren im DC etwas anders als Vorgänger.
ukulele-7
ukulele-7 19.03.2021 um 08:13:18 Uhr
Goto Top
Aktualisiere mal die Trust-Listen im Adobe Reader, z.B.:
Bearbeiten => Einstellungen... => Berechtigungen => Automatische Updates für European Union Trusted Lists (EUTL) => Jetzt aktualisieren
emeriks
emeriks 19.03.2021 um 10:21:43 Uhr
Goto Top
Zitat von @147669:
Zeig mal den Reiter "Richtlinien" und die Zertifikats-Details (OIDs etc)
2021-03-19 10_20_49-window
2021-03-19 10_20_11-window
emeriks
emeriks 19.03.2021 um 10:26:13 Uhr
Goto Top
Zitat von @ukulele-7:
Aktualisiere mal die Trust-Listen im Adobe Reader, z.B.:

2021-03-19 10_24_03-window

Was heißt das jetzt?
Sollte der Reader nicht auch den Zertifikatsspeicher von Windows verwenden?
emeriks
emeriks 19.03.2021 um 10:28:11 Uhr
Goto Top
Zitat von @ukulele-7:
Aktualisiere mal die Trust-Listen im Adobe Reader, z.B.:
Bearbeiten => Einstellungen... => Berechtigungen => Automatische Updates für European Union Trusted Lists (EUTL) => Jetzt aktualisieren

An einem anderen Client hat das funktioniert, aber nichts geändert.
emeriks
emeriks 19.03.2021 um 10:40:14 Uhr
Goto Top
Zitat von @DerWoWusste:
Nebenbei: die Readerversion ist aktuell ca. 5 Updates weiter. Vielleicht ein Bug in Verbindung mit der Windows-Version. 20H1/H2 verhalten sich beim digitalen Signieren im DC etwas anders als Vorgänger.
Das hat leider auch nichts gebracht. Ich habe soeben auf die aktuellste Version (2021.001.20145) aktualisiert - selbes Ergebnis.
emeriks
emeriks 19.03.2021 aktualisiert um 10:45:16 Uhr
Goto Top
Update:
Es muss irgendwie doch am Zertifikat liegen.
Habe soeben mit einem Zertifikat aus unserer internen Windows CA getestet. Da meckert er nichts an.

Ich habe gestern irgendwo einen Hinweis gelesen, dass der Reader auch die Sperrliste laden können müsse. Bei unsere internen Zertifikaten ist das kein Problem, weil alles intern.
Bei dem o.g. Zertifikat von DigiCert müsste er das über Internet laden. Der Client kommt aber nur über Proxy ins Internet. Könnte das das Problem sein?
147669
147669 19.03.2021 aktualisiert um 11:32:44 Uhr
Goto Top
Ich habe gestern irgendwo einen Hinweis gelesen, dass der Reader auch die Sperrliste laden können müsse.
Das sollte man generell sicherstellen, wenn Sperrlisten in Zertifikaten vorhanden sind.
Bei dem o.g. Zertifikat von DigiCert müsste er das über Internet laden. Der Client kommt aber nur über Proxy ins Internet. Könnte das das Problem sein?
Möglich.
ukulele-7
ukulele-7 19.03.2021 aktualisiert um 11:51:14 Uhr
Goto Top
Also Zetifikate sind mir auch ein Grauß aber ich musste neulich das ganze wegen Signaturpads nachvollziehen. Es wird auf jeden Fall das CA-Zertifikat geprüft und für Adobe ist das nur (so richtig) vertrauenswürdig wenn das auf der AATL oder der EUTL steht. Wenn nicht dann kann Windows dem Zertifikat vertrauen wie es will, Adobe tut das nicht weil der Aussteller ja unbekannt ist.

Hast du auch die AATL aktualisiert? Steht deine CA auf einer dieser Listen?
DerWoWusste
DerWoWusste 19.03.2021 um 13:02:08 Uhr
Goto Top
Hast Du nach dem Update des Readers auch getestet, nun mit dem selben Digicert Zert. neu zu unterschreiben, oder hast Du lediglich das bereits Signierte erneut geöffnet? Wir hatten das Problem auch und die mit der alten Version unterschriebenen blieben ungültig, neu signierte wurden hingegen anerkannt (Zerts von D-Trust sowohl als auch interne).
emeriks
emeriks 19.03.2021 um 13:16:41 Uhr
Goto Top
Zitat von @DerWoWusste:
Hast Du nach dem Update des Readers auch getestet, nun mit dem selben Digicert Zert. neu zu unterschreiben,
Ja, Test mit einem neuen Dokument.
emeriks
emeriks 19.03.2021 um 13:18:17 Uhr
Goto Top
Zitat von @ukulele-7:
für Adobe ist das nur (so richtig) vertrauenswürdig wenn das auf der AATL oder der EUTL steht. Wenn nicht dann kann Windows dem Zertifikat vertrauen wie es will, Adobe tut das nicht weil der Aussteller ja unbekannt ist.
Sowas in dieser Richtung vermute ich auch. Wir haben erst vor Kurzem den Anbieter gewechselt und mit den neuen Zertifikaten ist es dann das erste Mal aufgefallen.
ukulele-7
ukulele-7 19.03.2021 um 14:59:12 Uhr
Goto Top
Ich hatte das Problem das mir verschiedene Anbieter sehr verschiedene Preise und Dinge erzählt haben, Bei unserem Lieferanten (für Signaturpads) war von "Hardware-Zertifikat" die Rede, aber die sagen selbst das das kein feststehender Begriff ist. Die Geräte laufen aber nur mit solchen die auf der AATL oder EUTL stehen (also mit ihrem Root Zertifikat).