iText：人们使用什么类型的证书来在Linux上实现PDF签名的自动化？

我有一个低容量(<500个PDF/年）的应用程序，用于在Linux上使用Java中的iText对PDF文件进行自动数字签名。

我已经让iText使用我的SSL证书向PDF添加了数字签名。这是一个有效的方法来证明PDF是由我的域（例如服务器）生成的吗？它是否可以在Adobe Reader中以某种方式获得显示“信任”的绿色复选标记？

如果不是，我应该使用一个用于PDF的证书（例如，不是我的SSL证书），这样，当用户打开PDF文档时，指示“信任”的绿色小勾号自然出现。

http://itextpdf.com/book/digitalsignatures这本书很好地向我介绍了这个主题（我在这方面的经验很少）。

这本书谈到了一个安全的Luna设备（一个HSM)，但它太贵了。我只需要一个最小的解决方案，月神有很多的钟声和口哨。Luna PCIe设备更便宜，但我不需要任何功能，只需要提供一个可以用来签名的证书。此外，基于USB的SafeNet iKey设备似乎只在Windows设备上销售。有人在Linux上使用iKey吗？有可能吗？其他公司提供基于USB的设备在Linux上工作吗？

我正在寻找一个最小的解决方案，为Linux上的自动数字签名PDF服务。我相信很多小企业也有类似的需求。我只是想利用现有的知识。人们如何解决这个问题？

我看到的自动化此过程的解决方案假定大型公司使用Adobe Live Cycle，并相应地定价（例如，请参见https://www.globalsign.com/pdf-signing/compare-pdf-signing.html）。但是小企业也需要自动化。

理想情况下，有人会出售类似于SSL证书的证书，但PDF文件除外。有这种事吗？

硬件（某种程度上）是一种需求（似乎是这样）吗？如果硬件是一个要求，是否有任何最低限度的解决方案（例如，除了启用数字签名之外的有限功能）？

希望有人能帮我从树上看到森林。传统的智慧是什么？