Bevált gyakorlatok az LTV-aláírások engedélyezésére a dokumentumok aláírásához saját kezelésű HSM-ek használatával

Az SSL.com kulcsrakész távoli felhőaláírási szolgáltatásokat nyújt az eSigner aláírási műveletek API-n keresztül, amely magában foglalja a privát kulcsok tárolását és kezelését.

Sok felhasználó azonban szívesebben használja saját HSM vagy felhő HSM szolgáltatását a dokumentumok aláírására használt privát kulcsok tárolására. 

Az LTV-aláírások lehetővé teszik az ellenőrzést anélkül, hogy külső rendszerekre vagy tárolókra kellene támaszkodniuk. Az összes szükséges érvényesítési információ magában a dokumentumban található, így az önálló. Ez különösen fontos a hosszú távú ellenőrzéshez, mivel a külső rendszerek vagy adattárak elérhetetlenné válhatnak, vagy idővel megváltozhatnak.

Az LTV aláírásokkal az ellenőrzési folyamat független és önellátó marad.

Az alábbiakban felsoroljuk azokat a bevált módszereket, amelyekre a felhasználók hivatkozhatnak annak érdekében, hogy engedélyezzék az LTV-aláírásokat a dokumentum-aláíráshoz saját HSM- vagy felhőalapú HSM-szolgáltatása használatakor.

  1. Készítse elő a dokumentumot: Győződjön meg arról, hogy az aláírni kívánt dokumentum megfelelő formátumú, például PDF/A vagy egyszerű PDF dokumentum. A PDF/A kifejezetten hosszú távú archiválásra készült, és biztosítja a dokumentum integritásának megőrzését az idő múlásával.

  2. Használjon kriptográfiai időbélyegeket: Az LTV aláírások megbízható és megbízható időforrást igényelnek. A kriptográfiai időbélyegek ezt úgy biztosítják, hogy biztonságosan összekapcsolják az aláírást egy adott időponttal, megakadályozva a visszadátumozást vagy a manipulációt. Használjon megbízható időbélyegző hatóságot, például az SSL.com-ot, vagy a szervezeten belüli belső időbélyegző szolgáltatást.
    Az SSL.com időbélyegző szervere itt található http://ts.ssl.com/. Alapértelmezés szerint az SSL.com támogatja az ECDSA kulcsokból származó időbélyegeket.

    Ha ezt a hibát tapasztalja: Az időbélyeg-tanúsítvány nem felel meg a nyilvános kulcs minimális hosszára vonatkozó követelménynek, előfordulhat, hogy a HSM-szállító nem engedélyezi az ECDSA-kulcsokból származó időbélyegeket, hacsak nem érkezik kérés.

    Ha a HSM szállítója nem tudja engedélyezni a normál végpont használatát, használhatja ezt a régi végpontot. http://ts.ssl.com/legacy hogy időbélyeget kapjon egy RSA időbélyegző egységtől.

  3. Tanúsítvány visszavonási információk megőrzése: Az aláírások érvényességének megőrzése érdekében kulcsfontosságú a tanúsítvány visszavonására vonatkozó információk megőrzése. Ide tartoznak a tanúsítvány visszavonási listák (CRL) vagy az online tanúsítványállapot-protokoll (OCSP) válaszai, amelyek az aláíró tanúsítványának ellenőrzésére szolgálnak. 

    Java nyelvet használók számára a PDFBox Java könyvtár amely példákat tartalmaz az LTV aláírások létrehozására. Aláírási időbélyeg-példákat is tartalmaz. 

    Íme egy példakód a dokumentum-aláíró tanúsítványlánc visszavonási információinak (CRL) beágyazására a PDF-dokumentumba: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup

  4. Az aláírt dokumentumok archiválása: Vezessen biztonságos és rendszerezett archívumot az összes aláírt dokumentumról, beleértve a köztes verziókat is. Ez biztosítja, hogy az aláírt dokumentumok és a kapcsolódó érvényesítési információk, például az időbélyegek és a visszavonási adatok könnyen elérhetőek legyenek a hosszú távú ellenőrzéshez. Megfelelő tárolási mechanizmusokat kell alkalmazni az adatok jogosulatlan hozzáférésének, manipulációjának vagy elvesztésének megakadályozása érdekében.

  5. Ellenőrizze az aláírást: Végezzen ellenőrzési folyamatot annak biztosítására, hogy az aláírást megfelelően ellenőrizni lehessen. Ez magában foglalja az aláíró tanúsítványhoz társított nyilvános kulcs használatát az aláírás sértetlenségének ellenőrzésére, az időbélyeg érvényességének ellenőrzésére, valamint a tanúsítvány visszavonási állapotának ellenőrzésére.

  6. Állítsa be megfelelően a HSM-eket: Győződjön meg arról, hogy a HSM-ek megfelelően vannak konfigurálva és karbantartva, és betartják a kulcskezelésre vonatkozó iparági szabványokat és bevált gyakorlatokat, mint például a kulcsrotáció, az erős hozzáférés-ellenőrzés és a rendszeres auditálás.

  7. A biztonsági vezérlők figyelése és frissítése: Rendszeresen figyelje aláíró infrastruktúrájának biztonsági vezérlőit és konfigurációit, beleértve a HSM-eket, az időbélyegző szolgáltatásokat és a tárolórendszereket. Legyen naprakész a biztonsági javításokkal, firmware-frissítésekkel, valamint a HSM és a dokumentum-aláírási technológiák iparági bevált gyakorlataival.

Saját kezelésű HSM-dokumentum-aláírási megoldásokért vegye fel a kapcsolatot sales@ssl.com.

Az SSL.com által támogatott felhő HSM-ekkel kapcsolatos útmutatóért tekintse meg ezt a cikket: Támogatott Cloud HSM dokumentumok aláírásához és EV kód aláíráshoz.

További információ az SSL.com által támogatott felhőalapú HSM-ekről

Ugrás az oldal tetejére

Felhő HSM szolgáltatás igénylőlap

Ha digitális tanúsítványokat szeretne rendelni egy támogatott felhő HSM platformra (AWS CloudHSM vagy Azure Dedicated HSM) történő telepítéshez, kérjük, töltse ki és küldje el az alábbi űrlapot. Miután megkaptuk kérelmét, az SSL.com munkatársa felveszi Önnel a kapcsolatot a rendelési és tanúsítási folyamat további részleteivel kapcsolatban.

Ugrás az oldal tetejére

SSL támogatási csoport

Minden hozzászólás

Kapcsolódó blogbejegyzések

Összes blogbejegyzés megtekintése
Facebook Linkedin Twitter Youtube GitHub

Mi az SSL /TLS?

Videó lejátszása

Feliratkozás az SSL.com hírlevelére

Ne hagyja ki az SSL.com új cikkeit és frissítéseit

Örülnénk a visszajelzésének

Töltse ki felmérésünket, és ossza meg velünk véleményét legutóbbi vásárlásával kapcsolatban.

Kérdőívet kitölteni