ЭЦП для PDF/A и долговременная проверка: LTV, штамп времени, CRL/OCSP (2025)

Обычная подпись годится «здесь и сейчас». Для архивов и суда нужна долговременная проверка: PDF/A, штамп времени и встроенные доказательства действительности сертификата. Разберём, как это включить пошагово.

Коротко: что понадобится

  • Adobe Acrobat/Reader с модулем CryptoPro PDF.
  • Доступ к TSP (штамп времени) от УЦ или доверенного сервиса.
  • Цепочка сертификатов в Windows и доступ к CRL/OCSP.
Нужна помощь? Настрою PDF/A, включу LTV и TSP, подгружу CRL/OCSP и проверю, что документ валиден даже спустя годы.

1) Выбираем нужный профиль PDF/A

Для подписанных документов чаще используют PDF/A‑2 или PDF/A‑3 — они дружат с цифровыми подписями лучше, чем PDF/A‑1. Конвертируйте документ в PDF/A перед подписью (в Acrobat — «Префлайт»).

2) Штамп времени (TSP): почему обязателен

Без штампа времени подпись «привязана» к часам компьютера. TSP добавляет доверенную отметку времени. В Acrobat в «Настройках подписи» добавьте URL TSP.

CMD — выполнять по одной:

certmgr.msc
certutil -urlfetch -verify "C:\Docs\sample.pdf"

Проверка покажет, что у подписи есть штамп времени и он доверенный.

3) LTV (Long-Term Validation): встраиваем доказательства

LTV добавляет в PDF контейнер с доказательствами: цепочку сертификатов, CRL/OCSP и штампы времени. В Acrobat включите «Встраивать данные для длительной проверяемости» при добавлении подписи. В CryptoPro PDF проверьте опцию «Включать OCSP/CRL».

4) CRL/OCSP: где их взять и как приклеить к документу

Установите цепочку УЦ в Windows и убедитесь, что доступ к адресам CRL/OCSP не блокируется. Если интернет ограничен, сначала скачайте CRL вручную и поставьте в кэш.

PowerShell — выполнять по одной:

# Скачать CRL по URL (пример)
$crlUrl = "http://ca.example.ru/crl/RootCA.crl"
Invoke-WebRequest $crlUrl -OutFile "$env:TEMP\RootCA.crl"
certutil -addstore -f -enterprise "NTAuth" "$env:TEMP\RootCA.crl"

Адреса берите из поля «CDP/AIA» сертификата УЦ. В продакшене CRL/OCSP должны быть доступны всегда.

5) Проверяем LTV-подпись

  1. Откройте подписанный файл → «Свойства подписи». Должно быть «Подпись действительна» и «Долговременная проверка настроена».
  2. Отключите интернет и откройте документ ещё раз. Если LTV собран верно, проверка останется «зелёной».

6) Типичные проблемы

  • «Не удаётся получить CRL/OCSP» — нет доступа к адресам. Добавьте в исключения прокси/фаервола, проверьте URL.
  • «Подпись недоверенная» — не установлен корневой УЦ в Windows или Acrobat не доверяет хранилищу Windows.
  • PDF/A «ломается» после подписи — используйте режим совместимости PDF/A при подписи и не изменяйте документ после.

FAQ

Чем LTV отличается от обычной подписи?

В LTV внутри PDF лежат все данные для проверки: цепочка, CRL/OCSP и штамп времени. Файл «самодостаточный».

Нужен ли TSP, если есть OCSP?

Да. OCSP отвечает за статус сертификата, а TSP — за достоверное время подписания.

Можно ли сделать LTV в бесплатном Reader?

Проверять — да. Создавать LTV-объекты — обычно в Acrobat Pro с модулем CryptoPro PDF.

Читайте также: