Recordemos que habíamos configurado la aplicación Sinadura para firmar un PDF desde Linux con certificado digital (en hardware, es decir, certificado disponible en tarjeta criptográfica, en concreto la tarjeta de la autoridad de certificación IZENPE). Habíamos conseguido firmar el PDF sin problemas, pero cuando lo abríamos en Acrobat Reader, veíamos que la firma no se podía validar (Signature validity is unknown).
¿Cómo solucionarlo? Lo primero, nos descargaremos los certificados raíz y los de ciudadano, empresa, etc. desde la página oficial.
Los descomprimimos y procedemos a su instalación en Adobe Acrobat Reader. Para ello, desde Reader, pulsamos en Document / Manage trusted identities. En Display, elegimos «Certificates». Por el momento sólo está el de la propia Adobe. Pulsamos en «Add Contacts…», a continuación en Browse… e importamos
uno a uno los 5 certificados:
ca_raiz.crt
ca_aapp_no_reconocidos.crt
ca_aapp_reconocidos.crt
norecSCI_csrs.crt
ca_ciudadanos_entidades_reconocidos.crt
Una vez hecho, veremos una pantalla como la de la figura de la izquierda. Ahora sólo falta editar el grado de confianza del certificado raíz de Izenpe (pulsamos en «Edit trust»), eligiendo una de las opciones (puedes informarte más al respecto aquí). Yo sólo he marcado la opción «Trust this certificate for: Signatures and as a trusted root» (es decir, no he marcado «Certified documents»)
Pulsamos OK hasta cerrar todas las ventanas que hemos ido abriendo, recargamos el documento y ¡por fin!, vemos que la firma está reconocida como válida por Acrobat Reader.
Addendum: al abrir un documento PDF firmado con certificado IZENPE, Adobe Acrobat Reader realizará una comprobación OCSP para saber si el certificado que se usó para firmar está revocado o no. Durante medio segundo se puede ver una barra de progreso en pantalla (tal y como aparece en la imagen de la izquierda). En las propiedades del certificado, en la pestaña «Revocation», podemos ver si el certificado ha sido revocado o no (según la comprobación que se hace vía OCSP). En nuestro caso, se ve que el certificado no ha sido revocado (es válido por el momento 😉
Para saber más al respecto de la gestión de la seguridad de documentos PDF con Adobe Acrobat, existe una guía de seguridad con todo lujo de detalles técnicos.