SSL.com bietet schlüsselfertige Remote-Cloud-Signaturdienste über unsere eSigner-Signaturoperations-API, die die Speicherung und Verwaltung privater Schlüssel umfasst.
Viele Benutzer bevorzugen jedoch die Verwendung ihres eigenen HSM- oder Cloud-HSM-Dienstes zum Speichern privater Schlüssel, die zum Signieren von Dokumenten verwendet werden.
LTV-Signaturen ermöglichen eine Verifizierung, ohne auf externe Systeme oder Repositorys angewiesen zu sein. Alle notwendigen Validierungsinformationen sind im Dokument selbst enthalten und somit in sich geschlossen. Dies ist besonders wichtig für die langfristige Verifizierung, da externe Systeme oder Repositories im Laufe der Zeit möglicherweise nicht mehr verfügbar sind oder sich ändern.
Mit LTV-Signaturen bleibt der Verifizierungsprozess unabhängig und autark.
Nachfolgend finden Sie eine Liste bewährter Vorgehensweisen, auf die Benutzer zurückgreifen können, um LTV-Signaturen für die Dokumentensignatur zu aktivieren, wenn sie ihr eigenes HSM oder ihren Cloud-HSM-Dienst verwenden.
- Bereiten Sie das Dokument vor: Stellen Sie sicher, dass das Dokument, das Sie signieren möchten, in einem geeigneten Format vorliegt, z. B. PDF/A oder ein einfaches PDF-Dokument. PDF/A ist speziell für die Langzeitarchivierung konzipiert und stellt sicher, dass die Integrität des Dokuments über einen längeren Zeitraum erhalten bleibt.
- Verwenden Sie kryptografische Zeitstempel: LTV-Signaturen erfordern eine zuverlässige und vertrauenswürdige Zeitquelle. Kryptografische Zeitstempel ermöglichen dies, indem sie die Signatur sicher mit einem bestimmten Zeitpunkt verknüpfen und so eine Rückdatierung oder Manipulation verhindern. Verwenden Sie eine vertrauenswürdige Zeitstempelstelle wie SSL.com oder einen internen Zeitstempeldienst in Ihrem Unternehmen.
Der Zeitstempelserver von SSL.com befindet sich unter http://ts.ssl.com/. Standardmäßig unterstützt SSL.com Zeitstempel von ECDSA-Schlüsseln.Wenn dieser Fehler auftritt: Das Zeitstempelzertifikat erfüllt nicht die Mindestlänge des öffentlichen Schlüssels, kann es sein, dass Ihr HSM-Anbieter keine Zeitstempel von ECDSA-Schlüsseln zulässt, es sei denn, es wird eine entsprechende Anfrage gestellt.
Wenn es für Ihren HSM-Anbieter keine Möglichkeit gibt, die Verwendung des normalen Endpunkts zuzulassen, können Sie diesen Legacy-Endpunkt verwenden http://ts.ssl.com/legacy um einen Zeitstempel von einer RSA-Zeitstempeleinheit zu erhalten.
- Bewahren Sie die Informationen zum Zertifikatswiderruf auf: Um die Gültigkeit von Signaturen über einen längeren Zeitraum aufrechtzuerhalten, ist es wichtig, die Informationen zum Zertifikatswiderruf beizubehalten. Dazu gehören die Zertifikatssperrlisten (CRLs) oder die Online Certificate Status Protocol (OCSP)-Antworten, die zur Überprüfung des Zertifikats des Unterzeichners verwendet werden.
Für Benutzer der Java-Sprache können Sie auf Folgendes verweisen PDFBox Java-Bibliothek das Beispiele zum Erstellen von LTV-Signaturen enthält. Es enthält auch Beispiele für Signaturzeitstempel.
Hier ist ein Beispielcode zum Einbetten von Sperrinformationen (CRLs) der Dokumentsignaturzertifikatskette in das PDF-Dokument: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Archivieren Sie signierte Dokumente: Behalten Sie ein sicheres und organisiertes Archiv aller signierten Dokumente, einschließlich aller Zwischenversionen. Dadurch wird sichergestellt, dass die signierten Dokumente und zugehörigen Validierungsinformationen, wie Zeitstempel und Sperrdaten, für eine langfristige Überprüfung jederzeit verfügbar sind. Implementieren Sie geeignete Speichermechanismen, um unbefugten Zugriff, Manipulation oder Datenverlust zu verhindern.
- Überprüfen Sie die Signatur: Implementieren Sie einen Verifizierungsprozess, um sicherzustellen, dass die Signatur korrekt validiert werden kann. Dazu gehört die Verwendung des öffentlichen Schlüssels, der dem Signaturzertifikat zugeordnet ist, um die Integrität der Signatur zu überprüfen, den Zeitstempel auf Gültigkeit zu überprüfen und den Sperrstatus des Zertifikats zu überprüfen.
- HSMs richtig konfigurieren: Stellen Sie sicher, dass die HSMs ordnungsgemäß konfiguriert und gewartet werden und dass sie Branchenstandards und Best Practices für die Schlüsselverwaltung einhalten, z. B. Schlüsselrotation, strenge Zugriffskontrollen und regelmäßige Prüfungen.
- Überwachen und aktualisieren Sie Sicherheitskontrollen: Überwachen Sie regelmäßig die Sicherheitskontrollen und Konfigurationen Ihrer Signaturinfrastruktur, einschließlich der HSMs, Zeitstempeldienste und Speichersysteme. Bleiben Sie mit Sicherheitspatches, Firmware-Updates und branchenüblichen Best Practices für HSM- und Dokumentensignaturtechnologien auf dem Laufenden.
Für selbstverwaltete HSM-Lösungen zum Signieren von Dokumenten wenden Sie sich bitte an sales@ssl.com.
Eine Anleitung zu von SSL.com unterstützten Cloud-HSMs finden Sie in diesem Artikel: Unterstützte Cloud-HSMs für die Signatur von Dokumenten und EV-Code.
Cloud-HSM-Serviceanforderungsformular
Wenn Sie digitale Zertifikate für die Installation auf einer unterstützten Cloud-HSM-Plattform (AWS CloudHSM oder Azure Dedicated HSM) bestellen möchten, füllen Sie bitte das untenstehende Formular aus und senden Sie es ab. Nachdem wir Ihre Anfrage erhalten haben, wird sich ein Mitarbeiter von SSL.com mit Ihnen mit weiteren Einzelheiten zum Bestell- und Bescheinigungsprozess in Verbindung setzen.
