オンライン証明書ステータスレスポンス(OCSP;Online Certificate Status Protocol - RFC2560)や証明書失効リスト(CRL;Certificate Revovation List - RFC3280)などの失効情報を埋め込みます。
証明書の失効情報は署名時に検証サーバーによって提供され署名時に証明書が有効であったことの証明となります。
この情報は証明書の有効期限が切れたり、後で失効したりした場合でも、署名された文書の署名は有効なままであるため有用です。
失効情報の埋め込みは省略可能ですが、高度な電子署名(Advanced Electronic Signature)または限定署名(Qualified Electronic Signature)では推奨されます。この機能はを利用するには、署名証明書と暗号化プロバイダーがこの機能をサポートしている必要があります。
なお、ドキュメントタイムスタンプ署名ではサポートされていません。
これらのケースではPdfTools.Sign.OutputOptions.AddValidationInformationを指定したPdfTools.Sign.Signer.Process(Document, Stream, OutputOptions, Provider)を後から呼び出す必要があります。
署名証明書とその信頼チェーンに含まれるすべての証明書に失効情報が埋め込まれます。つまり、OCSP応答とCRLの両方が同じメッセージ内に存在する可能性があります。失効情報を埋め込むことのデメリットは、ファイルサイズが大きくなること(通常約20KB程度)と検証サービスへのWebリクエストが必要となるため署名プロセスが遅延することです。
失効情報を埋め込むには失効情報を発行するCAへのオンライン接続が必要です。
ファイアウォールは適切に設定する必要がありますので、Webプロキシを使用する場合(PdfTools.Sdk.Proxy参照)は以下のMIMEタイプがサポートされていることを確認してください:
定義
public enum ValidationInformation
メンバ
| 名前 | 値 | 概要 |
|---|---|---|
| None | 0 | Basic: 検証情報を追加しない |
| EmbedInSignature | 1 | LTV: 署名に検証情報を埋め込む レガシーPAdES Basic署名(署名形式:AdbePkcs7Detached)でのみ可能です。 |
| EmbedInDocument | 2 | LTV: ドキュメントに検証情報を埋め込む DSS(Document Security Store)に検証情報を埋め込むことをお勧めします。これは、ファイルサイズが小さく、すべての署名形式でサポートされているためです。 DSSは、2009年にPAdES-LTVプロファイル(ETSI TS 102 778-4)によって標準化されました。一部の旧式の署名検証ソフトウェアではこの機能がサポートされていない場合があります。このような場合は、EmbedInSignatureを使用する必要があります。 |
