SSL.com은 개인 키의 저장 및 관리를 포함하는 eSigner 서명 작업 API를 통해 턴키 원격 클라우드 서명 서비스를 제공합니다.
그러나 많은 사용자는 자체 HSM 또는 클라우드 HSM 서비스를 활용하여 문서 서명에 사용되는 개인 키를 저장하는 것을 선호합니다.
LTV 서명을 사용하면 외부 시스템이나 저장소에 의존하지 않고도 검증이 가능합니다. 필요한 모든 유효성 검사 정보는 문서 자체에 포함되어 있어 문서를 독립적으로 만듭니다. 외부 시스템이나 저장소는 시간이 지남에 따라 사용할 수 없게 되거나 변경될 수 있으므로 이는 장기적인 검증에 특히 중요합니다.
LTV 서명을 사용하면 확인 프로세스가 독립적이고 자급자족됩니다.
다음은 자체 HSM 또는 클라우드 HSM 서비스를 사용할 때 문서 서명에 LTV 서명을 활성화하기 위해 사용자가 참조할 수 있는 모범 사례 목록입니다.
- 문서를 준비하세요: 서명하려는 문서가 PDF/A 또는 간단한 PDF 문서 등 적합한 형식인지 확인하세요. PDF/A는 장기 보관을 위해 특별히 설계되었으며 시간이 지나도 문서의 무결성이 유지되도록 보장합니다.
- 암호화 타임스탬프 사용: LTV 서명에는 안정적이고 신뢰할 수 있는 시간 소스가 필요합니다. 암호화 타임스탬프는 서명을 특정 시간에 안전하게 연결하여 날짜 변경이나 변조를 방지함으로써 이를 제공합니다. SSL.com과 같은 신뢰할 수 있는 타임스탬프 기관이나 조직 내 내부 타임스탬프 서비스를 사용하세요.
SSL.com의 타임스탬프 서버는 다음과 같습니다. http://ts.ssl.com/. 기본적으로 SSL.com은 ECDSA 키의 타임스탬프를 지원합니다.다음 오류가 발생하면 타임스탬프 인증서가 최소 공개 키 길이 요구 사항을 충족하지 않습니다. 요청이 이루어지지 않는 한 HSM 공급업체가 ECDSA 키의 타임스탬프를 허용하지 않기 때문일 수 있습니다.
HSM 공급업체가 일반 엔드포인트 사용을 허용할 방법이 없는 경우 이 레거시 엔드포인트를 사용할 수 있습니다. http://ts.ssl.com/legacy RSA Timestamping Unit에서 타임스탬프를 가져옵니다.
- 인증서 해지 정보 보존: 시간이 지나도 서명의 유효성을 유지하려면 인증서 해지 정보를 보존하는 것이 중요합니다. 여기에는 서명자의 인증서를 확인하는 데 사용되는 CRL(인증서 해지 목록) 또는 OCSP(온라인 인증서 상태 프로토콜) 응답이 포함됩니다.
Java 언어 사용자의 경우 다음을 참조하세요. PDFBox 자바 라이브러리 LTV 서명을 생성하는 예제가 포함되어 있습니다. 또한 서명 타임스탬프 예시도 포함되어 있습니다.
다음은 PDF 문서 내에 문서 서명 인증서 체인의 해지 정보(CRL)를 삽입하는 방법에 대한 예제 코드입니다. https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- 서명된 문서 보관: 중간 버전을 포함하여 서명된 모든 문서를 안전하고 체계적으로 보관하세요. 이를 통해 서명된 문서와 타임스탬프 및 해지 데이터와 같은 관련 유효성 검사 정보를 장기 검증에 쉽게 사용할 수 있습니다. 데이터의 무단 액세스, 변조 또는 손실을 방지하기 위해 적절한 저장 메커니즘을 구현합니다.
- 서명을 확인하세요: 서명이 올바르게 검증될 수 있도록 확인 프로세스를 구현합니다. 여기에는 서명 인증서와 연결된 공개 키를 사용하여 서명의 무결성을 확인하고, 타임스탬프의 유효성을 확인하고, 인증서의 해지 상태를 확인하는 작업이 포함됩니다.
- HSM을 올바르게 구성: HSM이 적절하게 구성 및 유지 관리되고, 키 순환, 강력한 액세스 제어, 정기 감사 등 키 관리에 대한 업계 표준 및 모범 사례를 준수하는지 확인합니다.
- 보안 제어 모니터링 및 업데이트: HSM, 타임스탬프 서비스, 스토리지 시스템을 포함한 서명 인프라의 보안 제어 및 구성을 정기적으로 모니터링합니다. HSM 및 문서 서명 기술에 대한 보안 패치, 펌웨어 업데이트, 업계 모범 사례를 통해 최신 정보를 받아보세요.
자체 관리형 HSM 문서 서명 솔루션에 대해서는 문의하세요. sales@ssl.com.
SSL.com 지원 클라우드 HSM에 대한 가이드를 보려면 다음 문서를 방문하세요. 문서 서명 및 EV 코드 서명을 위해 지원되는 Cloud HSM.
Cloud HSM 서비스 요청 양식
지원되는 클라우드 HSM 플랫폼(AWS CloudHSM 또는 Azure Dedicated HSM)에 설치할 디지털 인증서를 주문하려면 아래 양식을 작성하여 제출하십시오. 귀하의 요청을 받은 후 SSL.com 직원이 주문 및 증명 프로세스에 대한 자세한 내용을 알려 드릴 것입니다.
