代码签名证书与文档签名证书的区别

Question

我正在考虑按照Adobe的AATL来获得一个签署PDF的文档签名证书，但是我注意到，例如，Digicert对一个文件签署证书的价格与一个代码签名证书的价格有很大的不同。我们计划使用证书进行PDF的自动签名，因此我看不到USB令牌(由文档签名证书提供)是如此有用。考虑由同一个CA: Digicert签名的证书/私钥对，并且在AATL上(因此它们的根证书是相同的？)使用代码签名证书是否足以在Adobe阅读器上验证？

Digicert的客户支持部门说：

如果您通过自己的软件使用证书，那么代码签名证书可能会工作，因为它将链回受信任的DigiCert根目录。但是，我无法确认代码签名是否会转换为PDF，因为我们不正式支持用代码签名证书进行PDF签名。

如果有人有这方面的经验，我会很感激的。

Answer 1

最有可能的是，这些代码签名证书有一个带有值codeSigning (1 3 6 1 5 5 7 3 3)的codeSigning (1 3 6 1 5 5 7 3 3)扩展，可能还有commercialCodeSigning (1 3 6 1 4 1 311 2 1 22)，但是没有允许其他用途的值。(至少在我手上的代码签名证书中是这样的。)

RFC 5280为扩展的密钥使用扩展指定了一个扩展，如果扩展名存在，那么证书只能用于指定的目的之一。

因此，如果如上所述设置了有关证书中的扩展密钥使用，则使用这种用于签名非代码的代码签名证书违反了X.509公钥基础设施证书的基本规范。

所以关于你的核心问题

我们计划使用证书自动签署PDF文件.使用代码签名证书是否足以在Adobe阅读器上验证？

Adobe很可能拒绝使用代码签名证书生成的PDF签名，如果现在没有，它很可能在将来的版本中很好。