SSL.com предоставя до ключ услуги за отдалечено подписване в облак чрез нашия API за операции по подписване на eSigner, който включва съхранение и управление на частни ключове.
Много потребители обаче предпочитат да използват своя собствена HSM или облачна HSM услуга за съхраняване на лични ключове, използвани за подписване на документи.
LTV подписите позволяват проверка, без да се разчита на външни системи или хранилища. Цялата необходима информация за валидиране е включена в самия документ, което го прави самостоятелен. Това е особено важно за дългосрочна проверка, тъй като външни системи или хранилища може да станат недостъпни или да се променят с течение на времето.
С LTV подписите процесът на проверка остава независим и самодостатъчен.
По-долу е даден списък с най-добри практики, към които потребителите могат да се обърнат, за да активират LTV подписи за подписване на документи, когато използвате своя собствена HSM или облачна HSM услуга.
- Подгответе документа: Уверете се, че документът, който искате да подпишете, е в подходящ формат, като например PDF/A или обикновен PDF документ. PDF/A е специално проектиран за дългосрочно архивиране и гарантира, че целостта на документа се поддържа във времето.
- Използвайте криптографски времеви отпечатъци: LTV подписите изискват надежден и надежден източник на време. Криптографските времеви отпечатъци осигуряват това, като сигурно свързват подписа с конкретно време, предотвратявайки всяко обратно датиране или подправяне. Използвайте доверен орган за времево клеймо като SSL.com или вътрешна услуга за времево клеймо във вашата организация.
Сървърът за маркиране на време на SSL.com е на http://ts.ssl.com/. По подразбиране SSL.com поддържа времеви отпечатъци от ECDSA ключове.Ако срещнете тази грешка: Сертификатът за клеймо за време не отговаря на изискването за минимална дължина на публичния ключ, възможно е вашият доставчик на HSM да не разрешава клеймото за време от ключове ECDSA, освен ако не е направена заявка.
Ако няма начин вашият доставчик на HSM да позволи използването на нормалната крайна точка, можете да използвате тази наследена крайна точка http://ts.ssl.com/legacy за да получите времево клеймо от RSA Timestamping Unit.
- Запазете информацията за анулиране на сертификат: За да се поддържа валидността на подписите във времето, е изключително важно да се запази информацията за анулиране на сертификата. Това включва списъците с анулирани сертификати (CRL) или отговорите на Протокола за състоянието на онлайн сертификата (OCSP), използвани за проверка на сертификата на подписващия.
За потребители на езика Java можете да се обърнете към PDFBox Java библиотека който съдържа примери за създаване на LTV подписи. Той също така включва примери за клеймо за време на подпис.
Ето примерен код за това как да вградите информация за анулиране (CRL) на веригата сертификати за подписване на документ в PDF документа: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Архивиране на подписани документи: Съхранявайте сигурен и организиран архив на всички подписани документи, включително всички междинни версии. Това гарантира, че подписаните документи и свързаната информация за валидиране, като времеви клейма и данни за анулиране, са лесно достъпни за дългосрочна проверка. Въведете подходящи механизми за съхранение, за да предотвратите неоторизиран достъп, подправяне или загуба на данни.
- Проверете подписа: Приложете процес на проверка, за да сте сигурни, че подписът може да бъде валидиран правилно. Това включва използването на публичния ключ, свързан със сертификата за подписване, за проверка на целостта на подписа, проверка на клеймото за време и валидност и проверка на статуса на анулиране на сертификата.
- Правилно конфигурирайте HSM: Уверете се, че HSM са правилно конфигурирани и поддържани и се придържат към индустриалните стандарти и най-добрите практики за управление на ключове, като ротация на ключове, силен контрол на достъпа и редовен одит.
- Наблюдавайте и актуализирайте контролите за сигурност: Редовно наблюдавайте контролите за сигурност и конфигурациите на вашата инфраструктура за подписване, включително HSM, услуги за маркиране на време и системи за съхранение. Бъдете в течение с корекции за сигурност, актуализации на фърмуера и най-добри практики в индустрията за HSM и технологии за подписване на документи.
За самостоятелно управлявани HSM решения за подписване на документи, свържете се с sales@ssl.com.
За ръководство относно поддържаните от SSL.com облачни HSM, моля, посетете тази статия: Поддържани облачни HSM за подписване на документи и подписване на EV код.
Формуляр за заявка за услуга Cloud HSM
Ако искате да поръчате цифрови сертификати за инсталиране на поддържана облачна HSM платформа (AWS CloudHSM или Azure Dedicated HSM), моля, попълнете и изпратете формуляра по-долу. След като получим вашата заявка, член на екипа на SSL.com ще се свърже с вас с повече подробности относно процеса на поръчка и удостоверяване.
