Доброго времени суток, всем!

Задача следующая: на сервере создается документ(pdf), на фронте клиент его должен подписать и отправить обратно на сервер. Есть нюанс - подписантов может быть несколько.

Если работать с открепленными подписями, то все ок, но надо как минимум, чтоб все подписи были прикрепленные (cades), а в идеале встроенными в pdf, чтоб просмативались через aadobe reader и пр.

Как я вижу схему работы:
- на сервере получаем хеш(HashedData.Value) документа и отправляем клиенту
- клиент создает объект HashedData, задает(SetHashValue) его значением от сервера, подписывает(SignHash) и отправляет подпись обратно

Далее пробую вставить подписанны хеш в документ:
- VerifyCades - ок
- если подписываю через SignCades, то в подписи сидит только сертификат их хранилища сервера, которым инициализирую объект Signer.
- если подписываю через CoSignCades, то сразу при просмотре SignedData.Certificates там сидят и сертификат клиента и сертификат с сервера, но последующая верификация не проходит - Invalid Signature. (0x80090006)
- если пробовать подписать инициализировав Signer сертификатом из подписанного хеша, то вовсе Internal error

Собственно вопросы:
0) в правильную ли сторону я думаю?
1) можно ли вообще получить документ прикрепленной подписью из подписанного хеша или открепленной подписи? и как, если можно)
2) можно ли из .sig как-то встроить прикрепленную подпись в PDF? и как, если можно)

*код на python

Всем неравнодушным заранее спасибо)