SSL.com poskytuje služby vzdáleného cloudového podepisování na klíč prostřednictvím našeho rozhraní API pro operace podepisování eSigner, které zahrnuje ukládání a správu soukromých klíčů.
Mnoho uživatelů však dává přednost využití vlastní HSM nebo cloudové HSM služby k ukládání soukromých klíčů používaných k podepisování dokumentů.
Podpisy LTV umožňují ověření bez spoléhání se na externí systémy nebo úložiště. Všechny potřebné ověřovací informace jsou obsaženy v samotném dokumentu, takže je samostatný. To je důležité zejména pro dlouhodobé ověřování, protože externí systémy nebo úložiště se mohou časem stát nedostupnými nebo se mohou změnit.
S podpisy LTV zůstává ověřovací proces nezávislý a soběstačný.
Níže je uveden seznam osvědčených postupů, na které se mohou uživatelé odvolávat, aby povolili podpisy LTV pro podepisování dokumentů při používání vlastní HSM nebo cloudové HSM služby.
- Připravte dokument: Ujistěte se, že dokument, který chcete podepsat, je ve vhodném formátu, jako je PDF/A nebo jednoduchý dokument PDF. PDF/A je speciálně navrženo pro dlouhodobou archivaci a zajišťuje zachování integrity dokumentu v průběhu času.
- Použijte kryptografická časová razítka: Signatury LTV vyžadují spolehlivý a důvěryhodný zdroj času. Kryptografická časová razítka to zajišťují bezpečným propojením podpisu s konkrétním časem, což zabraňuje jakémukoli zpětnému datování nebo manipulaci. Použijte důvěryhodnou autoritu pro časové razítko, jako je SSL.com, nebo interní službu pro časové razítko ve vaší organizaci.
Server časového razítka SSL.com je na adrese http://ts.ssl.com/. Ve výchozím nastavení SSL.com podporuje časová razítka z klíčů ECDSA.Pokud se setkáte s touto chybou: Certifikát časového razítka nesplňuje požadavek na minimální délku veřejného klíče, může se stát, že váš dodavatel HSM nepovoluje časové razítko z klíčů ECDSA, pokud není podán požadavek.
Pokud váš dodavatel HSM nemá žádný způsob, jak umožnit použití normálního koncového bodu, můžete použít tento starší koncový bod http://ts.ssl.com/legacy získat časové razítko z jednotky RSA Timestamping Unit.
- Zachovat informace o zneplatnění certifikátu: Pro zachování platnosti podpisů v průběhu času je důležité zachovat informace o odvolání certifikátu. To zahrnuje seznamy odvolaných certifikátů (CRL) nebo odpovědi OCSP (Online Certificate Status Protocol) používané k ověření certifikátu podepisujícího.
Pro uživatele jazyka Java se můžete podívat na Java knihovna PDFBox který obsahuje příklady vytváření signatur LTV. Obsahuje také příklady časových razítek podpisu.
Zde je příklad kódu, jak vložit informace o odvolání (CRL) řetězce certifikátů pro podepisování dokumentů do dokumentu PDF: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Archivujte podepsané dokumenty: Udržujte bezpečný a organizovaný archiv všech podepsaných dokumentů, včetně jakýchkoli přechodných verzí. To zajišťuje, že podepsané dokumenty a související ověřovací informace, jako jsou časová razítka a data o zrušení, jsou snadno dostupné pro dlouhodobé ověření. Implementujte správné mechanismy ukládání, abyste zabránili neoprávněnému přístupu, manipulaci nebo ztrátě dat.
- Ověřte podpis: Implementujte ověřovací proces, abyste zajistili, že podpis může být správně ověřen. To zahrnuje použití veřejného klíče přidruženého k podpisovému certifikátu k ověření integrity podpisu, kontrole platnosti časového razítka a ověření stavu odvolání certifikátu.
- Správně nakonfigurujte HSM: Zajistěte, aby byly HSM správně nakonfigurovány a udržovány a dodržovaly průmyslové standardy a osvědčené postupy pro správu klíčů, jako je střídání klíčů, přísné kontroly přístupu a pravidelné audity.
- Monitorujte a aktualizujte ovládací prvky zabezpečení: Pravidelně sledujte bezpečnostní kontroly a konfigurace vaší infrastruktury pro podepisování, včetně HSM, služeb časových razítek a úložných systémů. Zůstaňte v obraze díky opravám zabezpečení, aktualizacím firmwaru a osvědčeným postupům v oboru pro technologie HSM a podepisování dokumentů.
Pro samospravovaná řešení podepisování dokumentů HSM kontaktujte sales@ssl.com.
Průvodce cloudovými HSM podporovanými SSL.com naleznete v tomto článku: Podporované cloudové HSM pro podepisování dokumentů a podepisování kódů EV.
Formulář žádosti o službu Cloud HSM
Pokud si chcete objednat digitální certifikáty pro instalaci na podporovanou cloudovou platformu HSM (AWS CloudHSM nebo Azure Dedicated HSM), vyplňte a odešlete níže uvedený formulář. Poté, co obdržíme vaši žádost, bude vás kontaktovat pracovník SSL.com s dalšími podrobnostmi o procesu objednávky a atestace.
