يوفر موقع SSL.com خدمات التوقيع السحابي عن بعد الجاهزة للاستخدام من خلال واجهة برمجة تطبيقات عمليات التوقيع الإلكتروني الخاصة بنا والتي تتضمن تخزين المفاتيح الخاصة وإدارتها.
ومع ذلك، يفضل العديد من المستخدمين استخدام خدمة HSM أو خدمة HSM السحابية الخاصة بهم لتخزين المفاتيح الخاصة المستخدمة لتوقيع المستندات.
تسمح توقيعات LTV بالتحقق دون الاعتماد على أنظمة أو مستودعات خارجية. يتم تضمين جميع معلومات التحقق الضرورية في المستند نفسه، مما يجعله مستقلاً بذاته. وهذا مهم بشكل خاص للتحقق على المدى الطويل، حيث قد تصبح الأنظمة أو المستودعات الخارجية غير متاحة أو تتغير بمرور الوقت.
مع توقيعات القيمة الدائمة، تظل عملية التحقق مستقلة ومكتفية ذاتيًا.
فيما يلي قائمة بأفضل الممارسات التي يمكن للمستخدمين الرجوع إليها لتمكين توقيعات القيمة الدائمة لتوقيع المستندات عند استخدام خدمة HSM أو خدمة HSM السحابية الخاصة بك.
- قم بإعداد الوثيقة: تأكد من أن المستند الذي تريد التوقيع عليه بتنسيق مناسب، مثل PDF/A أو مستند PDF بسيط. تم تصميم PDF/A خصيصًا للأرشفة طويلة المدى ويضمن الحفاظ على سلامة المستند بمرور الوقت.
- استخدم الطوابع الزمنية المشفرة: تتطلب توقيعات القيمة الدائمة (LTV) مصدرًا موثوقًا وموثوقًا للوقت. توفر الطوابع الزمنية المشفرة ذلك من خلال ربط التوقيع بوقت محدد بشكل آمن، مما يمنع أي تأريخ خلفي أو تلاعب. استخدم مرجعًا موثوقًا للطوابع الزمنية مثل SSL.com أو خدمة الطوابع الزمنية الداخلية داخل مؤسستك.
خادم الطابع الزمني الخاص بـ SSL.com موجود http://ts.ssl.com/. افتراضيًا، يدعم SSL.com الطوابع الزمنية من مفاتيح ECDSA.إذا واجهت هذا الخطأ: شهادة الطابع الزمني لا تلبي الحد الأدنى من متطلبات طول المفتاح العام، فمن المحتمل أن بائع HSM الخاص بك لا يسمح بالطوابع الزمنية من مفاتيح ECDSA ما لم يتم تقديم طلب.
إذا لم تكن هناك طريقة لمورد HSM الخاص بك للسماح باستخدام نقطة النهاية العادية، فيمكنك استخدام نقطة النهاية القديمة هذه http://ts.ssl.com/legacy للحصول على طابع زمني من وحدة طابع زمني RSA.
- الاحتفاظ بمعلومات إلغاء الشهادة: للحفاظ على صحة التوقيعات مع مرور الوقت، من الضروري الحفاظ على معلومات إلغاء الشهادة. يتضمن ذلك قوائم الشهادات الباطلة (CRLs) أو استجابات بروتوكول حالة الشهادة عبر الإنترنت (OCSP) المستخدمة للتحقق من شهادة الموقع.
لمستخدمي لغة جافا، يمكنك الرجوع إلى مكتبة جافا PDFBox الذي يحتوي على أمثلة لإنشاء توقيعات LTV. ويتضمن أيضًا أمثلة للطوابع الزمنية للتوقيع.
فيما يلي مثال للتعليمات البرمجية حول كيفية تضمين معلومات الإلغاء (CRLs) لسلسلة شهادات توقيع المستند داخل مستند PDF: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- أرشفة الوثائق الموقعة: احتفظ بأرشيف آمن ومنظم لجميع المستندات الموقعة، بما في ذلك أي إصدارات وسيطة. وهذا يضمن أن المستندات الموقعة ومعلومات التحقق المرتبطة بها، مثل الطوابع الزمنية وبيانات الإلغاء، متاحة بسهولة للتحقق على المدى الطويل. تنفيذ آليات تخزين مناسبة لمنع الوصول غير المصرح به للبيانات أو التلاعب بها أو فقدانها.
- التحقق من التوقيع: تنفيذ عملية التحقق للتأكد من إمكانية التحقق من صحة التوقيع بشكل صحيح. يتضمن ذلك استخدام المفتاح العام المرتبط بشهادة التوقيع للتحقق من سلامة التوقيع، والتحقق من صحة الطابع الزمني، والتحقق من حالة إبطال الشهادة.
- قم بتكوين وحدات HSM بشكل صحيح: تأكد من تكوين وحدات HSM وصيانتها بشكل صحيح، والالتزام بمعايير الصناعة وأفضل الممارسات للإدارة الرئيسية، مثل دوران المفاتيح، وضوابط الوصول القوية، والتدقيق المنتظم.
- مراقبة وتحديث الضوابط الأمنية: قم بمراقبة عناصر التحكم والتكوينات الأمنية للبنية الأساسية للتوقيع لديك بشكل منتظم، بما في ذلك وحدات HSM، وخدمات الطوابع الزمنية، وأنظمة التخزين. ابق على اطلاع دائم بتصحيحات الأمان وتحديثات البرامج الثابتة وأفضل ممارسات الصناعة لتقنيات HSM وتوقيع المستندات.
للحصول على حلول توقيع مستندات HSM المُدارة ذاتيًا، اتصل sales@ssl.com.
للحصول على دليل حول وحدات HSM السحابية المدعومة من SSL.com، يرجى زيارة هذه المقالة: دعم HSMs السحابية لتوقيع المستندات وتوقيع رمز EV.
نموذج طلب خدمة Cloud HSM
إذا كنت ترغب في طلب شهادات رقمية للتثبيت على منصة HSM سحابية مدعومة (AWS CloudHSM أو Azure Dedicated HSM) ، يرجى ملء النموذج أدناه وإرساله. بعد أن نتلقى طلبك ، سيتصل بك أحد موظفي SSL.com لتزويدك بمزيد من التفاصيل حول عملية الطلب والمصادقة.
