SSL.com tarjoaa avaimet käteen -periaatteella etäallekirjoituspalveluita eSigner Signing Operations API:n kautta, joka sisältää yksityisten avainten tallennuksen ja hallinnan.
Monet käyttäjät käyttävät kuitenkin mieluummin omaa HSM- tai pilvi HSM-palveluaan asiakirjojen allekirjoittamiseen käytettyjen yksityisten avainten tallentamiseen.
LTV-allekirjoitukset mahdollistavat todennuksen turvautumatta ulkoisiin järjestelmiin tai tietovarastoihin. Kaikki tarvittavat validointitiedot sisältyvät itse asiakirjaan, joten se on itsenäinen. Tämä on erityisen tärkeää pitkän aikavälin varmentamisessa, koska ulkoiset järjestelmät tai tietovarastot voivat olla poissa käytöstä tai muuttua ajan myötä.
LTV-allekirjoitusten avulla varmennusprosessi pysyy riippumattomana ja omavaraisena.
Alla on luettelo parhaista käytännöistä, joihin käyttäjät voivat viitata ottaakseen käyttöön LTV-allekirjoitukset dokumenttien allekirjoittamista varten, kun käytät omaa HSM- tai pilvi HSM-palveluasi.
- Valmistele asiakirja: Varmista, että allekirjoitettava asiakirja on sopivassa muodossa, kuten PDF/A tai yksinkertainen PDF-dokumentti. PDF/A on erityisesti suunniteltu pitkäaikaiseen arkistointiin ja varmistaa, että asiakirjan eheys säilyy ajan mittaan.
- Käytä kryptografisia aikaleimoja: LTV-allekirjoitukset vaativat luotettavan ja luotettavan ajanlähteen. Kryptografiset aikaleimat tarjoavat tämän yhdistämällä allekirjoituksen turvallisesti tiettyyn aikaan, estäen takaperin tai peukaloinnin. Käytä luotettua aikaleimausviranomaista, kuten SSL.com, tai organisaatiosi sisäistä aikaleimapalvelua.
SSL.comin aikaleimapalvelin on osoitteessa http://ts.ssl.com/. Oletusarvoisesti SSL.com tukee ECDSA-avaimien aikaleimoja.Jos kohtaat tämän virheen: Aikaleimavarmenne ei täytä julkisen avaimen vähimmäispituusvaatimusta, saattaa olla, että HSM-toimittajasi ei salli aikaleimoja ECDSA-avaimista, ellei pyyntöä tehdä.
Jos HSM-toimittajasi ei voi sallia normaalin päätepisteen käyttöä, voit käyttää tätä vanhaa päätepistettä http://ts.ssl.com/legacy saadaksesi aikaleiman RSA-aikaleimayksiköstä.
- Säilytä varmenteen peruutustiedot: Jotta allekirjoitukset säilyisivät ajan mittaan, on erittäin tärkeää säilyttää varmenteen peruutustiedot. Tämä sisältää varmenteen kumoamisluettelot (CRL) tai OCSP (Online Certificate Status Protocol) -vastaukset, joita käytetään allekirjoittajan varmenteen tarkistamiseen.
Java-kielen käyttäjille voit katsoa PDFBox Java-kirjasto joka sisältää esimerkkejä LTV-allekirjoitusten luomisesta. Se sisältää myös allekirjoituksen aikaleimaesimerkkejä.
Tässä on esimerkkikoodi asiakirjan allekirjoitusvarmenneketjun peruutustietojen (CRL) upottamisesta PDF-dokumenttiin: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Arkistoi allekirjoitetut asiakirjat: Säilytä suojattu ja järjestetty arkisto kaikista allekirjoitetuista asiakirjoista, mukaan lukien kaikki väliversiot. Tämä varmistaa, että allekirjoitetut asiakirjat ja niihin liittyvät vahvistustiedot, kuten aikaleimat ja peruutustiedot, ovat helposti saatavilla pitkäaikaista todentamista varten. Ota käyttöön asianmukaiset tallennusmekanismit estääksesi luvattoman pääsyn, peukaloinnin tai tietojen katoamisen.
- Tarkista allekirjoitus: Suorita vahvistusprosessi varmistaaksesi, että allekirjoitus voidaan vahvistaa oikein. Tämä sisältää allekirjoitusvarmenteeseen liittyvän julkisen avaimen käyttämisen allekirjoituksen eheyden tarkistamiseen, aikaleiman kelpoisuuden tarkistamiseen ja varmenteen kumoamisen tilan tarkistamiseen.
- Määritä HSM:t oikein: Varmista, että HSM:t on konfiguroitu ja ylläpidetty oikein, ja että ne noudattavat alan standardeja ja parhaita käytäntöjä avainten hallinnassa, kuten avainten kierto, vahva pääsynhallinta ja säännöllinen auditointi.
- Tarkkaile ja päivitä suojausohjaimia: Seuraa säännöllisesti allekirjoitusinfrastruktuurisi suojausohjaimia ja määrityksiä, mukaan lukien HSM:t, aikaleimapalvelut ja tallennusjärjestelmät. Pysy ajan tasalla tietoturvakorjauksista, laiteohjelmistopäivityksistä ja alan parhaista käytännöistä HSM- ja asiakirjojen allekirjoitustekniikoissa.
Jos tarvitset itsehallinnoituja HSM-asiakirjojen allekirjoitusratkaisuja, ota yhteyttä sales@ssl.com.
Saat oppaan SSL.comin tukemista pilvi-HSM:istä tästä artikkelista: Tuetut pilvi-HSM: t asiakirjojen ja EV-koodien allekirjoittamiseen.
Cloud HSM -palvelupyyntölomake
Jos haluat tilata digitaalisia varmenteita asennettavaksi tuettuun pilvi HSM-alustaan (AWS CloudHSM tai Azure Dedicated HSM), täytä ja lähetä alla oleva lomake. Kun olemme vastaanottaneet pyyntösi, SSL.comin henkilöstön jäsen ottaa sinuun yhteyttä ja antaa lisätietoja tilaus- ja todistusprosessista.
