SSL.com menyediakan layanan penandatanganan cloud jarak jauh siap pakai melalui API operasi penandatanganan eSigner kami yang mencakup penyimpanan dan pengelolaan kunci pribadi.
Namun, banyak pengguna lebih memilih untuk menggunakan layanan HSM atau cloud HSM mereka sendiri untuk menyimpan kunci pribadi yang digunakan untuk menandatangani dokumen.
Tanda tangan LTV memungkinkan verifikasi tanpa bergantung pada sistem atau repositori eksternal. Semua informasi validasi yang diperlukan disertakan dalam dokumen itu sendiri, sehingga menjadi mandiri. Hal ini sangat penting untuk verifikasi jangka panjang, karena sistem atau repositori eksternal mungkin tidak tersedia atau berubah seiring waktu.
Dengan tanda tangan LTV, proses verifikasi tetap independen dan mandiri.
Di bawah ini adalah daftar praktik terbaik yang dapat dirujuk pengguna untuk mengaktifkan tanda tangan LTV untuk penandatanganan dokumen saat menggunakan layanan HSM atau cloud HSM Anda sendiri.
- Siapkan dokumennya: Pastikan dokumen yang ingin Anda tandatangani memiliki format yang sesuai, seperti PDF/A atau dokumen PDF sederhana. PDF/A dirancang khusus untuk pengarsipan jangka panjang dan memastikan integritas dokumen tetap terjaga seiring berjalannya waktu.
- Gunakan Stempel Waktu Kriptografis: Tanda tangan LTV memerlukan sumber waktu yang andal dan tepercaya. Stempel waktu kriptografi menyediakan hal ini dengan menautkan tanda tangan secara aman ke waktu tertentu, mencegah penanggalan mundur atau gangguan apa pun. Gunakan otoritas stempel waktu tepercaya seperti SSL.com atau layanan stempel waktu internal dalam organisasi Anda.
Server cap waktu SSL.com aktif http://ts.ssl.com/. Secara default, SSL.com mendukung stempel waktu dari kunci ECDSA.Jika Anda mengalami kesalahan ini: Sertifikat stempel waktu tidak memenuhi persyaratan panjang kunci publik minimum, bisa jadi vendor HSM Anda tidak mengizinkan stempel waktu dari kunci ECDSA kecuali ada permintaan yang dibuat.
Jika vendor HSM Anda tidak mengizinkan penggunaan titik akhir normal, Anda dapat menggunakan titik akhir lama ini http://ts.ssl.com/legacy untuk mendapatkan stempel waktu dari Unit Stempel Waktu RSA.
- Simpan Informasi Pencabutan Sertifikat: Untuk menjaga keabsahan tanda tangan dari waktu ke waktu, penting untuk menjaga informasi pencabutan sertifikat. Ini termasuk respons Daftar Pencabutan Sertifikat (CRL) atau Protokol Status Sertifikat Online (OCSP) yang digunakan untuk memverifikasi sertifikat penandatangan.
Bagi pengguna bahasa Java bisa merujuk pada Perpustakaan PDFBox Java yang berisi contoh membuat tanda tangan LTV. Ini juga mencakup contoh stempel waktu tanda tangan.
Berikut adalah contoh kode tentang cara menyematkan informasi pencabutan (CRL) rantai sertifikat penandatanganan dokumen di dalam dokumen PDF: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Arsipkan Dokumen yang Ditandatangani: Menyimpan arsip yang aman dan terorganisir dari semua dokumen yang ditandatangani, termasuk versi perantara. Hal ini memastikan bahwa dokumen yang ditandatangani dan informasi validasi terkait, seperti stempel waktu dan data pencabutan, tersedia untuk verifikasi jangka panjang. Menerapkan mekanisme penyimpanan yang tepat untuk mencegah akses tidak sah, gangguan, atau kehilangan data.
- Verifikasi tanda tangannya: Menerapkan proses verifikasi untuk memastikan bahwa tanda tangan dapat divalidasi dengan benar. Hal ini melibatkan penggunaan kunci publik yang terkait dengan sertifikat penandatanganan untuk memverifikasi integritas tanda tangan, memeriksa validitas stempel waktu, dan memverifikasi status pencabutan sertifikat.
- Konfigurasikan HSM dengan benar: Memastikan HSM dikonfigurasi dan dipelihara dengan benar, serta mematuhi standar industri dan praktik terbaik untuk manajemen kunci, seperti rotasi kunci, kontrol akses yang kuat, dan audit rutin.
- Pantau dan Perbarui Kontrol Keamanan: Pantau kontrol keamanan dan konfigurasi infrastruktur penandatanganan Anda secara rutin, termasuk HSM, layanan stempel waktu, dan sistem penyimpanan. Terus ikuti perkembangan patch keamanan, pembaruan firmware, dan praktik terbaik industri untuk HSM dan teknologi penandatanganan dokumen.
Untuk solusi penandatanganan dokumen HSM yang dikelola sendiri, hubungi sales@ssl.com.
Untuk panduan tentang cloud HSM yang didukung SSL.com, silakan kunjungi artikel ini: Cloud HSM yang Didukung untuk Penandatanganan Dokumen dan Penandatanganan Kode EV.
Pelajari lebih lanjut tentang Cloud HSM yang didukung SSL.com
Formulir Permintaan Layanan Cloud HSM
Jika Anda ingin memesan sertifikat digital untuk penginstalan di platform cloud HSM yang didukung (AWS CloudHSM atau Azure Dedicated HSM), harap isi dan kirimkan formulir di bawah ini. Setelah kami menerima permintaan Anda, anggota staf SSL.com akan menghubungi Anda dengan perincian lebih lanjut tentang proses pemesanan dan pengesahan.
