SSL.com leverer nøglefærdige fjernskysigneringstjenester gennem vores eSigner-signeringsoperations-API, som omfatter opbevaring og administration af private nøgler.
Mange brugere foretrækker dog at bruge deres egen HSM- eller cloud-HSM-tjeneste til at gemme private nøgler, der bruges til at signere dokumenter.
LTV-signaturer giver mulighed for verifikation uden at være afhængig af eksterne systemer eller lagre. Alle de nødvendige valideringsoplysninger er inkluderet i selve dokumentet, hvilket gør det selvstændigt. Dette er især vigtigt for langsigtet verifikation, da eksterne systemer eller lagre kan blive utilgængelige eller ændre sig over tid.
Med LTV-signaturer forbliver verifikationsprocessen uafhængig og selvforsynende.
Nedenfor er en liste over bedste praksis, som brugere kan henvise til for at aktivere LTV-signaturer til dokumentsignering, når de bruger din egen HSM- eller cloud-HSM-tjeneste.
- Forbered dokumentet: Sørg for, at det dokument, du vil underskrive, er i et passende format, såsom PDF/A eller et simpelt PDF-dokument. PDF/A er specielt designet til langtidsarkivering og sikrer, at dokumentets integritet bibeholdes over tid.
- Brug kryptografiske tidsstempler: LTV-signaturer kræver en pålidelig og pålidelig tidskilde. Kryptografiske tidsstempler giver dette ved sikkert at forbinde signaturen til et bestemt tidspunkt, hvilket forhindrer enhver tilbagedatering eller manipulation. Brug en betroet tidsstemplingsautoritet som SSL.com eller en intern tidsstemplingstjeneste i din organisation.
SSL.coms tidsstemplingsserver er kl http://ts.ssl.com/. Som standard understøtter SSL.com tidsstempler fra ECDSA-nøgler.Hvis du støder på denne fejl: Tidsstemplets certifikat opfylder ikke et minimumskrav til offentlig nøglelængde, kan det være, at din HSM-leverandør ikke tillader tidsstempler fra ECDSA-nøgler, medmindre der fremsættes en anmodning.
Hvis der ikke er nogen måde for din HSM-leverandør at tillade det normale slutpunkt at blive brugt, kan du bruge dette ældre slutpunkt http://ts.ssl.com/legacy for at få et tidsstempel fra en RSA Timestamping Unit.
- Bevar oplysninger om tilbagekaldelse af certifikat: For at bevare gyldigheden af signaturer over tid er det afgørende at bevare oplysningerne om tilbagekaldelse af certifikatet. Dette inkluderer Certificate Revocation Lists (CRL'er) eller Online Certificate Status Protocol (OCSP), der bruges til at bekræfte underskriverens certifikat.
For Java-sprogbrugere kan du henvise til PDFBox Java-bibliotek som indeholder eksempler til at skabe LTV-signaturer. Det inkluderer også eksempler på signaturtidsstempler.
Her er et eksempel på en kode til, hvordan man indlejrer tilbagekaldelsesoplysninger (CRL'er) for dokumentsigneringscertifikatkæden i PDF-dokumentet: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Arkiver underskrevne dokumenter: Hold et sikkert og organiseret arkiv over alle signerede dokumenter, inklusive eventuelle mellemversioner. Dette sikrer, at de underskrevne dokumenter og tilhørende valideringsoplysninger, såsom tidsstempler og tilbagekaldelsesdata, er let tilgængelige for langsigtet verifikation. Implementer korrekte lagringsmekanismer for at forhindre uautoriseret adgang, manipulation eller tab af data.
- Bekræft signaturen: Implementer en verifikationsproces for at sikre, at signaturen kan valideres korrekt. Dette involverer brug af den offentlige nøgle, der er knyttet til signeringscertifikatet, til at verificere signaturens integritet, kontrollere tidsstemplet for gyldighed og verificere certifikatets tilbagekaldelsesstatus.
- Konfigurer HSM'er korrekt: Sørg for, at HSM'erne er korrekt konfigureret og vedligeholdt, og overholder industristandarder og bedste praksis for nøglestyring, såsom nøglerotation, stærke adgangskontroller og regelmæssig revision.
- Overvåg og opdater sikkerhedskontroller: Overvåg regelmæssigt sikkerhedskontrollerne og konfigurationerne af din signeringsinfrastruktur, inklusive HSM'er, tidsstemplingstjenester og lagersystemer. Hold dig opdateret med sikkerhedsrettelser, firmwareopdateringer og bedste praksis i branchen for HSM- og dokumentsigneringsteknologier.
For selvstyrede HSM-dokumentsigneringsløsninger, kontakt sales@ssl.com.
For en vejledning om SSL.com-understøttede cloud-HSM'er, besøg venligst denne artikel: Understøttede Cloud HSM'er til dokumentsignering og EV-kodesignering.
Cloud HSM-serviceanmodningsformular
Hvis du gerne vil bestille digitale certifikater til installation på en understøttet cloud HSM-platform (AWS CloudHSM eller Azure Dedicated HSM), skal du udfylde og indsende formularen nedenfor. Efter at vi har modtaget din anmodning, vil et medlem af SSL.coms personale kontakte dig med flere detaljer om bestillings- og attestationsprocessen.