引言

检查数字证书是否有效,不能只看证书有没有过期。你需要同时核对有效期、颁发机构、证书链、吊销状态,以及签署软件或文件查看器给出的签名提示。证书可能仍在有效期内,但如果已经被吊销、证书链不受信任、用途不匹配,或文件在签署后被修改,就不能直接作为可靠签署证据。

这篇指南会用实操方式说明数字证书该怎么查、哪些警告需要重点处理,以及什么时候应从“检查单个证书”升级为“审查完整签署流程”。

数字证书到底证明什么

数字证书不是电子签名本身。它是一种密码学凭证,用来把公钥和某个身份绑定起来,身份可以是个人、组织、设备或服务。在 X.509 证书验证实践中,颁发机构、主体、有效期、密钥用途、证书路径和吊销信息,都会影响一张证书能否在特定用途下被信任。

数字签名会使用证书支持的密钥对,帮助证明是谁签署,以及签署后的数据有没有被改动。电子签名的范围更宽,通常指能体现签署意愿的电子过程,具体效力还要看适用法律、文件类型和各方约定。

术语含义需要检查什么
数字证书由 CA 颁发的身份与公钥凭证颁发机构、有效期、主体、证书链、吊销状态
数字签名对数据或文件施加的密码学签名证书状态、文件完整性、时间戳、签署人身份
电子签名以电子方式完成签署意愿表达的行为同意、身份认证、审计记录、适用法律、记录留存

所以,只检查证书日期并不够。对合同、政府提交文件或跨境协议来说,更关键的问题是:签署证据是否足以支持这个文件场景。

先做这些基础检查

第一步可以从最容易发现问题的项目开始,确认这个证书在当前系统或文件查看器中是否被信任。

  1. 在浏览器、操作系统、PDF 查看器、电子签署平台或证书管理工具中打开证书详情。
  2. 核对主体名称和组织信息,确认它与预期的签署人、组织、服务器或签署服务一致。
  3. 查看颁发机构,证书应能追溯到当前用途认可的根证书或可信认证机构。
  4. 检查有效期,不仅看签署日期,也要看证书的开始日期和结束日期。
  5. 查看密钥用途或扩展密钥用途。用于服务器认证的证书,不一定适合文件签署。
  6. 留意软件警告。文件被修改、未知信任链、证书过期、证书链断裂等提示,都应先处理再依赖该文件。

如果检查的是已签署 PDF,签名面板通常是最直接的入口。它能显示签名是否验证通过、文件签署后是否被修改,以及证书链是否被当前查看器信任。但对高价值合同或合规文件来说,这只是起点,不应是最终判断。

证书链和吊销状态不能跳过

证书仍在有效期内,并不代表一定可以依赖。颁发机构可能因为私钥泄露、主体信息变化、证书被误用,或证书政策不再满足要求而吊销证书。

常见的吊销检查方式包括:

  • CRL 查询:由认证机构发布的证书吊销列表。
  • OCSP 查询:针对某一张证书发起在线状态查询。IETF RFC 6960 将 OCSP 定义为一种不必下载完整 CRL 就能判断证书状态的协议。

对 X.509 证书来说,证书路径验证同样重要。证书应从最终实体证书开始,经由中间证书,最终链向可信根证书。IETF RFC 5280 规范了互联网公钥基础设施中的 X.509 证书和证书吊销列表,因此很多验证工具会同时检查颁发者、有效期、密钥用途、证书策略、路径和吊销状态。

如果验证工具无法连接吊销信息源,结果可能是“无法确认”,而不是“安全可用”。这时应向颁发机构、信任服务提供方或签署平台索取验证证据,再决定是否接受该文件。

证书看起来无效时该怎么处理

发现证书异常时,不要简单要求对方重新发送同一个文件。先判断到底是哪一类失败。

提示或问题可能含义建议处理方式
证书已过期证书有效期已经结束查看是否有可信时间戳;向颁发机构或签署人索取验证证据
证书已吊销颁发机构撤销了该证书的信任在颁发机构说明状态和影响期间前,不要直接依赖
颁发机构未知当前查看器不信任该证书链核查 CA 是否符合所在地区或企业政策要求
文件已被修改签署后的内容发生变化要求重新提供干净的已签署文件或审计记录
证书用途不匹配证书并非用于文件签署要求使用正确的签署证书或平台生成的签署文件
缺少审计证据单个文件不足以证明完整签署过程要求提供审计记录、身份认证记录和已签署文件包

对低风险内部文件,快速查看证书状态可能已经足够。对合同、政府提交、跨境协议或受监管流程,应把证书验证纳入完整签署证据审查。

Nota Sign 如何承接更可靠的签署证据

很多团队是在检查数字证书时,才发现现有签署方式过于依赖人工判断。Nota Sign 适合承接的场景,不只是“这张证书是否有效”,而是“每一次签署能否稳定证明身份、同意、文件完整性、审计历史和记录留存”。

如果合同流转涉及法务、财务、人力、采购或区域业务团队,Nota Sign 可以把证书验证从零散的人工判断,放回一个更可控的签署流程里。团队可以在文件发出前先规划签署路径、签署人身份核验、审计记录、已签署文件留存,以及后续需要提交给内部或外部审查的证据。

评估 Nota Sign 是否适合你的流程时,建议同时核查:

  • 签署人身份核验是否符合文件风险等级;
  • 每份已签署文件是否都有清晰审计记录;
  • 法务、财务、人力或采购团队是否能长期调取已签署文件;
  • 重复签署流程是否需要 API 或系统集成;
  • 费用是否与用户数、发送量、身份认证、API 使用、支持服务或区域要求相关;
  • 跨境签署人是否能顺利访问,并生成内部可审查的证据。

Nota Sign 价格页可以帮助团队初步判断预算问题;如果你的流程涉及身份核验、亚太地区签署人、API 使用或审计记录留存,也建议直接联系 Nota Sign 销售团队评估工作流程。

总结

数字证书规则会因司法辖区和文件类型而不同。以香港为例,GovHK 说明,在不涉及政府实体的交易中,法律上的签名要求通常可以通过电子签名满足,包括数字签名,前提是该方式可靠、适当且得到接收方同意;涉及政府实体的交易,则可以通过由认可数字证书支持的数字签名满足签名要求。

这说明,跨境团队不能只看证书日期。下一份协议发出前,建议把这些信息带给 Nota Sign 做一次流程评估:

  • 签署人身份核验方式;
  • 认证机构或信任服务提供方是否适合该文件用途;
  • 文件需要数字签名、电子签名,还是更高等级的可信签署方式;
  • 已签署文件是否包含审计证据和时间戳;
  • 接收方或主管机构是否接受当前验证方式;
  • 平台是否支持相关签署人所在地区。

当团队需要可重复的签署流程、签署人身份核验证据、审计记录、已签署文件留存和区域流程评估时,Nota Sign 更适合作为完整方案来评估。如果你的团队频繁因为证书警告而反复确认文件可信度,不要等到法务、采购或境外相对方退回文件后再补救,而应尽早重新审查协议签署流程。

需要一套可被内部和跨境相对方审查的签署证据吗? 准备好签署量、签署人所在地、文件类型、身份核验要求、API 需求、审计留存要求和预算限制后,直接联系 Nota Sign 销售团队,让团队帮你梳理上线前需要准备的签署证据。