Leibniz Universität Hannover Main Leibniz University Website
Deutsch Contact Deutsch
Leibniz University IT Services
 
LUIS Services IT Security Zertifikate der LUH-CA Anleitungen
PDF-Signatur unter Linux mit Okular

PDF-Signatur unter Linux mit Okular

PDFs können unter Linux u.a. mit Okular oder LibreOffice signiert werden, wobei Okular die von uns empfohlene Variante ist. Für Okular finden Sie im Folgenden eine detaillierte Schritt-Für-Schritt-Anleitung für das Einbinden und die Nutzung des Zertifikats. Falls Sie es mit LibreOffice probieren wollen, finden Sie die notwendigen Schritte in der Dokumentation von LibreOffice, in der das Einbinden eines Zertifikats sowie das Signieren einer PDF beschrieben wird.

Übersicht der Schritte

Schritt 1: Okular-Version aktualisieren

Damit das digitale Signieren per S/MIME funktioniert, ist eine aktuelle Okular-Version nötig. Unter z. B. Ubuntu 20.04 ist diese zu alt. Eine Installation der Flatpak-Variante ist eine mögliche Lösung dafür. In dieser Anleitung nutzen wir Okular in der Version 24.02.2, welches über Flatpak (distributionsabhängiges Paketierungsformat) auf einem Ubuntu 22.04 LTS nachinstalliert wurde.

Die notwendigen Schritte für eine Installation von Flatpak finden Sie in der Dokumentation von Flatpak. Anschließend kann Okular über Flatpak installiert werden.

Beispiel für die Einrichtung auf Ubuntu (22.04):

apt install flatpak
flatpak remote-add --if-not-exists flathub https://dl.flathub.org/repo/flathub.flatpakrepo
reboot
flatpak install org.kde.Okular
Die aktuelle Version von Okular können Sie sich über "Hilfe" - "Über Okular" anzeigen lassen. In dieser Anleitung wird die Version 24.02.2 (flatpak) verwendet. Die aktuelle Version von Okular können Sie sich über "Hilfe" - "Über Okular" anzeigen lassen. In dieser Anleitung wird die Version 24.02.2 (flatpak) verwendet. Die aktuelle Version von Okular können Sie sich über "Hilfe" - "Über Okular" anzeigen lassen. In dieser Anleitung wird die Version 24.02.2 (flatpak) verwendet.
Die aktuelle Version von Okular können Sie sich über "Hilfe" - "Über Okular" anzeigen lassen. In dieser Anleitung wird die Version 24.02.2 (flatpak) verwendet.

Schritt 2: Zertifikatsdatenbank konfigurieren

In diesem Schritt wird das Zertifikat in Okular eingebunden, sodass es von Okular zum Signieren von PDFs verwendet werden kann.

Über "Einstellungen" - "Anzeigemodule einrichten" … Über "Einstellungen" - "Anzeigemodule einrichten" … Über "Einstellungen" - "Anzeigemodule einrichten" …
Über "Einstellungen" - "Anzeigemodule einrichten" …
… im Bereich "PDF" gelangt man zur Konfiguration des "Signature Backend" (oder: Signaturmodul). Standardmäßig nutzt Okular (in bestimmten Fällen) den Konfigurationsordner von Mozilla Firefox (wie in diesem Screenshot zu sehen). Ist Ihr Zertifikat bereits in Mozilla Firefox importiert, sollte Ihr Zertifikat an dieser Stelle auftauchen (in diesem Fall werden Sie vor diesem Menü zur Eingabe des Hauptpassworts des Zertifikatsspeichers von Firefox aufgefordert, sofern eins gesetzt ist). … im Bereich "PDF" gelangt man zur Konfiguration des "Signature Backend" (oder: Signaturmodul). Standardmäßig nutzt Okular (in bestimmten Fällen) den Konfigurationsordner von Mozilla Firefox (wie in diesem Screenshot zu sehen). Ist Ihr Zertifikat bereits in Mozilla Firefox importiert, sollte Ihr Zertifikat an dieser Stelle auftauchen (in diesem Fall werden Sie vor diesem Menü zur Eingabe des Hauptpassworts des Zertifikatsspeichers von Firefox aufgefordert, sofern eins gesetzt ist). … im Bereich "PDF" gelangt man zur Konfiguration des "Signature Backend" (oder: Signaturmodul). Standardmäßig nutzt Okular (in bestimmten Fällen) den Konfigurationsordner von Mozilla Firefox (wie in diesem Screenshot zu sehen). Ist Ihr Zertifikat bereits in Mozilla Firefox importiert, sollte Ihr Zertifikat an dieser Stelle auftauchen (in diesem Fall werden Sie vor diesem Menü zur Eingabe des Hauptpassworts des Zertifikatsspeichers von Firefox aufgefordert, sofern eins gesetzt ist).
… im Bereich "PDF" gelangt man zur Konfiguration des "Signature Backend" (oder: Signaturmodul). Standardmäßig nutzt Okular (in bestimmten Fällen) den Konfigurationsordner von Mozilla Firefox (wie in diesem Screenshot zu sehen). Ist Ihr Zertifikat bereits in Mozilla Firefox importiert, sollte Ihr Zertifikat an dieser Stelle auftauchen (in diesem Fall werden Sie vor diesem Menü zur Eingabe des Hauptpassworts des Zertifikatsspeichers von Firefox aufgefordert, sofern eins gesetzt ist).

Falls Ihr Zertifikat noch nicht in Thunderbird oder Firefox importiert ist, müssten Sie das in diesem Schritt nachholen. Die notwendigen Schritte dafür sind den Anleitungen für Thunderbird und Firefox zu entnehmen. Wir empfehlen die Nutzung des Thunderbird-Ordners, da das Zertifikat i.d.R. bei Nutzung von Thunderbird als Mail-Programm bereits dort importiert ist. Wir empfehlen ebenso das Setzen eines Hauptpassworts in Firefox/Thunderbird, um den Zertifikatsspeicher (oder auch gespeicherte Passwörter) zu schützen.

Wenn Firefox z.B. in Snap installiert ist, kann es sein dass die Zertifikate nicht ohne weiteres in Okular nutzbar sind. Wir empfehlen in diesem Fall die Nutzung einer anderen Option, z.B. den Thunderbird-Ordner (wie im Folgenden beschrieben).

Der Ordner mit den Zertifikaten kann alternativ auch geändert werden, z.B. auf den Konfigurationsordner von Mozilla Thunderbird. Der Ordner mit den Zertifikaten kann alternativ auch geändert werden, z.B. auf den Konfigurationsordner von Mozilla Thunderbird. Der Ordner mit den Zertifikaten kann alternativ auch geändert werden, z.B. auf den Konfigurationsordner von Mozilla Thunderbird.
Der Ordner mit den Zertifikaten kann alternativ auch geändert werden, z.B. auf den Konfigurationsordner von Mozilla Thunderbird.
Nach Änderungen der Auswahl der Zertifikats-Datenbank muss Okular neu gestartet werden. Nach Änderungen der Auswahl der Zertifikats-Datenbank muss Okular neu gestartet werden. Nach Änderungen der Auswahl der Zertifikats-Datenbank muss Okular neu gestartet werden.
Nach Änderungen der Auswahl der Zertifikats-Datenbank muss Okular neu gestartet werden.
Falls Sie für Thunderbird ein Hauptpasswort gesetzt haben, werden Sie beim erneuten Aufrufen der Einstellungen zur Eingabe des Hauptpassworts zum Entsperren des Zertifikatsspeichers aufgefordert. Falls Sie für Thunderbird ein Hauptpasswort gesetzt haben, werden Sie beim erneuten Aufrufen der Einstellungen zur Eingabe des Hauptpassworts zum Entsperren des Zertifikatsspeichers aufgefordert. Falls Sie für Thunderbird ein Hauptpasswort gesetzt haben, werden Sie beim erneuten Aufrufen der Einstellungen zur Eingabe des Hauptpassworts zum Entsperren des Zertifikatsspeichers aufgefordert.
Falls Sie für Thunderbird ein Hauptpasswort gesetzt haben, werden Sie beim erneuten Aufrufen der Einstellungen zur Eingabe des Hauptpassworts zum Entsperren des Zertifikatsspeichers aufgefordert.
Nun tauchen die Zertifikate aus dem Konfigurationsordner von Mozilla Thunderbird auf (sofern zuvor Zertifikate in Mozilla Thunderbird importiert wurden). Im Screenshot sieht man ein beispielhaftes Gruppenzertifikat der IT-Sicherheits-Gruppe des LUIS. Nun tauchen die Zertifikate aus dem Konfigurationsordner von Mozilla Thunderbird auf (sofern zuvor Zertifikate in Mozilla Thunderbird importiert wurden). Im Screenshot sieht man ein beispielhaftes Gruppenzertifikat der IT-Sicherheits-Gruppe des LUIS. Nun tauchen die Zertifikate aus dem Konfigurationsordner von Mozilla Thunderbird auf (sofern zuvor Zertifikate in Mozilla Thunderbird importiert wurden). Im Screenshot sieht man ein beispielhaftes Gruppenzertifikat der IT-Sicherheits-Gruppe des LUIS.
Nun tauchen die Zertifikate aus dem Konfigurationsordner von Mozilla Thunderbird auf (sofern zuvor Zertifikate in Mozilla Thunderbird importiert wurden). Im Screenshot sieht man ein beispielhaftes Gruppenzertifikat der IT-Sicherheits-Gruppe des LUIS.

Schritt 3: PDF signieren

Um eine PDF-Datei mit Okular zu signieren, öffnen Sie zuerst die zu signierende PDF in Okular. Um eine PDF-Datei mit Okular zu signieren, öffnen Sie zuerst die zu signierende PDF in Okular. Um eine PDF-Datei mit Okular zu signieren, öffnen Sie zuerst die zu signierende PDF in Okular.
Um eine PDF-Datei mit Okular zu signieren, öffnen Sie zuerst die zu signierende PDF in Okular.
In diesem Fall nutzen wir eine Beispiel-PDF. In diesem Fall nutzen wir eine Beispiel-PDF. In diesem Fall nutzen wir eine Beispiel-PDF.
In diesem Fall nutzen wir eine Beispiel-PDF.
In der geöffneten PDF aktivieren Sie das Signieren über "Extras" - "Digital signieren". In der geöffneten PDF aktivieren Sie das Signieren über "Extras" - "Digital signieren". In der geöffneten PDF aktivieren Sie das Signieren über "Extras" - "Digital signieren".
In der geöffneten PDF aktivieren Sie das Signieren über "Extras" - "Digital signieren".
Sie werden an dieser Stelle nach dem Passwort der Zertifikats-Datenbank gefragt, sofern der verwendete Zertifikatsspeicher mit solch einem geschützt ist (z.B. das Hauptpasswort in Thunderbird). Sie werden an dieser Stelle nach dem Passwort der Zertifikats-Datenbank gefragt, sofern der verwendete Zertifikatsspeicher mit solch einem geschützt ist (z.B. das Hauptpasswort in Thunderbird). Sie werden an dieser Stelle nach dem Passwort der Zertifikats-Datenbank gefragt, sofern der verwendete Zertifikatsspeicher mit solch einem geschützt ist (z.B. das Hauptpasswort in Thunderbird).
Sie werden an dieser Stelle nach dem Passwort der Zertifikats-Datenbank gefragt, sofern der verwendete Zertifikatsspeicher mit solch einem geschützt ist (z.B. das Hauptpasswort in Thunderbird).
Zeichnen Sie nun mit der Maus ein Reckteck in die PDF an die gewünschte Stelle, um ein Signaturfeld einzufügen. Zeichnen Sie nun mit der Maus ein Reckteck in die PDF an die gewünschte Stelle, um ein Signaturfeld einzufügen. Zeichnen Sie nun mit der Maus ein Reckteck in die PDF an die gewünschte Stelle, um ein Signaturfeld einzufügen.
Zeichnen Sie nun mit der Maus ein Reckteck in die PDF an die gewünschte Stelle, um ein Signaturfeld einzufügen.
Anschließend öffnet sich ein Einstellungs-Fenster. Es wird Ihnen eine Liste mit verfügbaren Zertifikaten angezeigt. Hier wählen Sie das Zertifikat aus, mit dem Sie unterschreiben möchten. Darunter können Sie die Signatur mit den Feldern "Grund", "Ort" und "Hintergrund" ergänzen. Das Ausfüllen dieser drei Felder ist optional. Im Screenshot sehen Sie ein Beispiel. Über das Feld "Hintergrund" können sogar ganze Grafiken integriert werden. Anschließend öffnet sich ein Einstellungs-Fenster. Es wird Ihnen eine Liste mit verfügbaren Zertifikaten angezeigt. Hier wählen Sie das Zertifikat aus, mit dem Sie unterschreiben möchten. Darunter können Sie die Signatur mit den Feldern "Grund", "Ort" und "Hintergrund" ergänzen. Das Ausfüllen dieser drei Felder ist optional. Im Screenshot sehen Sie ein Beispiel. Über das Feld "Hintergrund" können sogar ganze Grafiken integriert werden. Anschließend öffnet sich ein Einstellungs-Fenster. Es wird Ihnen eine Liste mit verfügbaren Zertifikaten angezeigt. Hier wählen Sie das Zertifikat aus, mit dem Sie unterschreiben möchten. Darunter können Sie die Signatur mit den Feldern "Grund", "Ort" und "Hintergrund" ergänzen. Das Ausfüllen dieser drei Felder ist optional. Im Screenshot sehen Sie ein Beispiel. Über das Feld "Hintergrund" können sogar ganze Grafiken integriert werden.
Anschließend öffnet sich ein Einstellungs-Fenster. Es wird Ihnen eine Liste mit verfügbaren Zertifikaten angezeigt. Hier wählen Sie das Zertifikat aus, mit dem Sie unterschreiben möchten. Darunter können Sie die Signatur mit den Feldern "Grund", "Ort" und "Hintergrund" ergänzen. Das Ausfüllen dieser drei Felder ist optional. Im Screenshot sehen Sie ein Beispiel. Über das Feld "Hintergrund" können sogar ganze Grafiken integriert werden.
Das Signieren erzeugt eine neue PDF mit Ihrer Signatur, welche Sie nun abspeichern müssen. Das Signieren erzeugt eine neue PDF mit Ihrer Signatur, welche Sie nun abspeichern müssen. Das Signieren erzeugt eine neue PDF mit Ihrer Signatur, welche Sie nun abspeichern müssen.
Das Signieren erzeugt eine neue PDF mit Ihrer Signatur, welche Sie nun abspeichern müssen.
Die Signatur wird nun wie zuvor konfiguriert in der PDF angezeigt. Die Signatur wird nun wie zuvor konfiguriert in der PDF angezeigt. Die Signatur wird nun wie zuvor konfiguriert in der PDF angezeigt.
Die Signatur wird nun wie zuvor konfiguriert in der PDF angezeigt.
Gruppenzertifikate, die über Sectigo ausgestellt wurden, haben das in Okular angezeigte Attribut nicht gesetzt (im Gegensatz zu DFN-Zertifikaten), stattdessen wird "Nicht verfügbar" angezeigt. Angezeigte Attribute können leider nicht konfiguriert werden. Ein Möglichkeit ist, sich eine Grafik zu basteln in der die gewünschten Informationen stehen und diese dann beim Erstellen der Signatur einzufügen. Die Zertifikatsdetails sollten beim Prüfen der Signatur zusätzlich geprüft werden (Schritt 4). Gruppenzertifikate, die über Sectigo ausgestellt wurden, haben das in Okular angezeigte Attribut nicht gesetzt (im Gegensatz zu DFN-Zertifikaten), stattdessen wird "Nicht verfügbar" angezeigt. Angezeigte Attribute können leider nicht konfiguriert werden. Ein Möglichkeit ist, sich eine Grafik zu basteln in der die gewünschten Informationen stehen und diese dann beim Erstellen der Signatur einzufügen. Die Zertifikatsdetails sollten beim Prüfen der Signatur zusätzlich geprüft werden (Schritt 4). Gruppenzertifikate, die über Sectigo ausgestellt wurden, haben das in Okular angezeigte Attribut nicht gesetzt (im Gegensatz zu DFN-Zertifikaten), stattdessen wird "Nicht verfügbar" angezeigt. Angezeigte Attribute können leider nicht konfiguriert werden. Ein Möglichkeit ist, sich eine Grafik zu basteln in der die gewünschten Informationen stehen und diese dann beim Erstellen der Signatur einzufügen. Die Zertifikatsdetails sollten beim Prüfen der Signatur zusätzlich geprüft werden (Schritt 4).
Gruppenzertifikate, die über Sectigo ausgestellt wurden, haben das in Okular angezeigte Attribut nicht gesetzt (im Gegensatz zu DFN-Zertifikaten), stattdessen wird "Nicht verfügbar" angezeigt. Angezeigte Attribute können leider nicht konfiguriert werden. Ein Möglichkeit ist, sich eine Grafik zu basteln in der die gewünschten Informationen stehen und diese dann beim Erstellen der Signatur einzufügen. Die Zertifikatsdetails sollten beim Prüfen der Signatur zusätzlich geprüft werden (Schritt 4).

Schritt 4: PDF-Signatur prüfen

Eine S/MIME-Signatur in einer PDF-Datei sollte immer auch über die Zertifikatsdetails validiert werden. In der visuell sichtbaren Schicht in der PDF können u.U. andere Informationen enthalten sein, die nicht eindeutig auf den wahren Urheber der Signatur schließen lassen, sodass ein zusätzliches Überprüfen über die Zertifikatsdetails immer empfohlen wird. Im Folgenden werden dafür die notwendigen Schritte gezeigt.

Beim Öffnen der signierten PDF in Okular können die Zertifikatsdetails über den Button "Signaturbereich anzeigen" geöffnet werden. Alternativ kann der Bereich über das Shortcut-Menü links oben geöffnet werden. In der sich öffnenden Übersicht werden die verwendeten Signaturen angezeigt, sowie die Informationen ob diese kryptografisch gültig sind. Durch Rechtsklick auf die jeweilige Signatur können die Eigenschaften geöffnet werden. Beim Öffnen der signierten PDF in Okular können die Zertifikatsdetails über den Button "Signaturbereich anzeigen" geöffnet werden. Alternativ kann der Bereich über das Shortcut-Menü links oben geöffnet werden. In der sich öffnenden Übersicht werden die verwendeten Signaturen angezeigt, sowie die Informationen ob diese kryptografisch gültig sind. Durch Rechtsklick auf die jeweilige Signatur können die Eigenschaften geöffnet werden. Beim Öffnen der signierten PDF in Okular können die Zertifikatsdetails über den Button "Signaturbereich anzeigen" geöffnet werden. Alternativ kann der Bereich über das Shortcut-Menü links oben geöffnet werden. In der sich öffnenden Übersicht werden die verwendeten Signaturen angezeigt, sowie die Informationen ob diese kryptografisch gültig sind. Durch Rechtsklick auf die jeweilige Signatur können die Eigenschaften geöffnet werden.
Beim Öffnen der signierten PDF in Okular können die Zertifikatsdetails über den Button "Signaturbereich anzeigen" geöffnet werden. Alternativ kann der Bereich über das Shortcut-Menü links oben geöffnet werden. In der sich öffnenden Übersicht werden die verwendeten Signaturen angezeigt, sowie die Informationen ob diese kryptografisch gültig sind. Durch Rechtsklick auf die jeweilige Signatur können die Eigenschaften geöffnet werden.
In den Eigenschaften werden die gleichen Informationen angezeigt wie schon zuvor in der Übersicht. An dieser Stelle gibt es jedoch zusätzlich den Button "Zertifikat anzeigen", über den das verwendete Zertifikat angezeigt werden kann. In den Eigenschaften werden die gleichen Informationen angezeigt wie schon zuvor in der Übersicht. An dieser Stelle gibt es jedoch zusätzlich den Button "Zertifikat anzeigen", über den das verwendete Zertifikat angezeigt werden kann. In den Eigenschaften werden die gleichen Informationen angezeigt wie schon zuvor in der Übersicht. An dieser Stelle gibt es jedoch zusätzlich den Button "Zertifikat anzeigen", über den das verwendete Zertifikat angezeigt werden kann.
In den Eigenschaften werden die gleichen Informationen angezeigt wie schon zuvor in der Übersicht. An dieser Stelle gibt es jedoch zusätzlich den Button "Zertifikat anzeigen", über den das verwendete Zertifikat angezeigt werden kann.
In dem sich öffnenden Fenster werden die Zertifikatsinformationen angezeigt. Diese können nun überprüft werden, ob es von dem zu erwartenden Unterzeichner stammt. Es werden auch Fingerabdrücke angezeigt, über die ebenso eine Validierung erfolgen kann. In dem sich öffnenden Fenster werden die Zertifikatsinformationen angezeigt. Diese können nun überprüft werden, ob es von dem zu erwartenden Unterzeichner stammt. Es werden auch Fingerabdrücke angezeigt, über die ebenso eine Validierung erfolgen kann. In dem sich öffnenden Fenster werden die Zertifikatsinformationen angezeigt. Diese können nun überprüft werden, ob es von dem zu erwartenden Unterzeichner stammt. Es werden auch Fingerabdrücke angezeigt, über die ebenso eine Validierung erfolgen kann.
In dem sich öffnenden Fenster werden die Zertifikatsinformationen angezeigt. Diese können nun überprüft werden, ob es von dem zu erwartenden Unterzeichner stammt. Es werden auch Fingerabdrücke angezeigt, über die ebenso eine Validierung erfolgen kann.
In dem Tab "Details" werden die Zertifikatsinformationen noch einmal detaillierter angezeigt. In dem Tab "Details" werden die Zertifikatsinformationen noch einmal detaillierter angezeigt. In dem Tab "Details" werden die Zertifikatsinformationen noch einmal detaillierter angezeigt.
In dem Tab "Details" werden die Zertifikatsinformationen noch einmal detaillierter angezeigt.

Schritt 5: Fehlerbehebung

Es folgen einige bekannte Fehler sowie weiterführende Links die bei Problemen ggf. helfen können.
 

Fehler: Zertifikatsdatenbank kann nicht ausgewählt werden.

Mögliche Ursache: Programm (z.B. Firefox) ist in Snap installiert, der Zertifikatsspeicher ist daher nicht ohne weiteres auswählbar/nutzbar.

Lösung: Nutzung eines nicht in Snap-installierten Programms mit Zertifikatsspeicher (z.B. Thunderbird wie in Schritt 2 beschrieben).
 

Fehler: Signatur wird in Okular mit komischen Zeichen angezeigt:

Mögliche Ursache: Okular-Version zu alt (Signierte PDF wurde mit veralteter, ggf. parallel installierter Okular-Version geöffnet)

Lösung: Richtige (in Schritt 1 installierte) Okular-Version zum Anschauen der PDF verwenden.
 

Fehler: Signatur mit Gruppenzertifikat wird visuell mit "Nicht verfügbar" angezeigt:

Mögliche Ursache: Gruppenzertifikate, die über Sectigo ausgestellt wurden haben das in Okular angezeigte Attribut nicht gesetzt (im Gegensatz zu den DFN-Zertifikaten), sodass stattdessen "Nicht verfügbar" angezeigt wird.

Lösung: In Okular keine richtige Lösung bekannt (Angezeigte Attribute können nicht konfiguriert werden). Ein Möglichkeit ist, sich eine Grafik zu basteln in der die gewünschten Informationen stehen und diese dann beim Erstellen der Signatur einfügen. Eine Signatur sollte jedoch immer durch Anklicken der Signatur in den Signatur-Details geprüft werden, dort steht dann auch die unterzeichnende (Gruppen-)Mail-Adresse (siehe Schritt 4).

Weitere Unterstützung:

  • Finden Sie in der Dokumentation von Okular (momentan nur auf englisch verfügbar)
  • Ist Okular bereits auf einem System installiert, kann im Menü unter "Hilfe->Handbuch zu Okular" oder mit der Taste F1 das aktuelle und zu Ihrer installierten Okularversion passende Handbuch auf Deutsch aufgerufen werden. Die Dokumentation für die Nutzung und Erstellung digitaler Signaturen befindet sich im Abschnitt "3. Weitergehende Funktionen von Okular" im Unterbereich "Signaturen".
  • Bei weiteren Fragen die nicht in dieser Anleitung beantwortet werden konnten kontaktieren Sie gerne das Zertifikatsteam des LUIS.

Kontakt

Zertifikatsteam des LUIS
Email
zertifikatsteam@luis.uni-hannover.de
Zertifikatsteam des LUIS
Email
zertifikatsteam@luis.uni-hannover.de

Last Change: 31.05.24; Zertifikatsteam des LUIS Print

Contact us
Contact