SSL.com tilbyr nøkkelferdige eksterne skysigneringstjenester gjennom vår eSigner-signeringsoperasjons-API som inkluderer lagring og administrasjon av private nøkler.
Imidlertid foretrekker mange brukere å bruke sin egen HSM eller sky HSM-tjeneste for å lagre private nøkler som brukes til å signere dokumenter.
LTV-signaturer gir mulighet for verifisering uten å stole på eksterne systemer eller depoter. All nødvendig valideringsinformasjon er inkludert i selve dokumentet, noe som gjør det selvstendig. Dette er spesielt viktig for langsiktig verifisering, da eksterne systemer eller depoter kan bli utilgjengelige eller endre seg over tid.
Med LTV-signaturer forblir verifiseringsprosessen uavhengig og selvforsynt.
Nedenfor er en liste over beste fremgangsmåter som brukere kan referere til for å aktivere LTV-signaturer for dokumentsignering når du bruker din egen HSM- eller sky-HSM-tjeneste.
- Forbered dokumentet: Sørg for at dokumentet du vil signere er i et passende format, for eksempel PDF/A eller et enkelt PDF-dokument. PDF/A er spesielt utviklet for langsiktig arkivering og sikrer at dokumentets integritet opprettholdes over tid.
- Bruk kryptografiske tidsstempler: LTV-signaturer krever en pålitelig og pålitelig tidskilde. Kryptografiske tidsstempler gir dette ved å sikkert koble signaturen til et bestemt tidspunkt, og forhindrer tilbakedatering eller tukling. Bruk en pålitelig tidsstemplingsautoritet som SSL.com eller en intern tidsstemplingstjeneste i organisasjonen din.
SSL.coms tidsstemplingsserver er kl http://ts.ssl.com/. Som standard støtter SSL.com tidsstempler fra ECDSA-nøkler.Hvis du støter på denne feilen: Tidsstempelsertifikatet oppfyller ikke et minimumskrav for offentlig nøkkellengde, kan det være at HSM-leverandøren din ikke tillater tidsstempler fra ECDSA-nøkler med mindre en forespørsel er gjort.
Hvis det ikke er mulig for HSM-leverandøren din å tillate bruk av det vanlige endepunktet, kan du bruke dette eldre endepunktet http://ts.ssl.com/legacy for å få et tidsstempel fra en RSA Timestamping Unit.
- Ta vare på informasjon om tilbakekall av sertifikat: For å opprettholde gyldigheten til signaturer over tid, er det avgjørende å bevare informasjonen om tilbakekalling av sertifikatet. Dette inkluderer Certificate Revocation Lists (CRL-er) eller OCSP-svarene (Online Certificate Status Protocol) som brukes til å verifisere underskriverens sertifikat.
For Java-språkbrukere kan du se PDFBox Java-bibliotek som inneholder eksempler for å lage LTV-signaturer. Den inkluderer også eksempler på signaturtidsstempel.
Her er en eksempelkode på hvordan du bygger inn tilbakekallingsinformasjon (CRL) for dokumentsigneringssertifikatkjeden i PDF-dokumentet: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Arkiver signerte dokumenter: Hold et sikkert og organisert arkiv over alle signerte dokumenter, inkludert eventuelle mellomversjoner. Dette sikrer at de signerte dokumentene og tilhørende valideringsinformasjon, som tidsstempler og tilbakekallingsdata, er lett tilgjengelige for langsiktig verifisering. Implementer riktige lagringsmekanismer for å forhindre uautorisert tilgang, tukling eller tap av data.
- Bekreft signaturen: Implementer en verifiseringsprosess for å sikre at signaturen kan valideres riktig. Dette innebærer å bruke den offentlige nøkkelen knyttet til signeringssertifikatet for å verifisere signaturens integritet, sjekke tidsstemplet for gyldighet og verifisere sertifikatets tilbakekallingsstatus.
- Konfigurer HSM-er riktig: Sørg for at HSM-ene er riktig konfigurert og vedlikeholdt, og overholder bransjestandarder og beste praksis for nøkkeladministrasjon, for eksempel nøkkelrotasjon, sterke tilgangskontroller og regelmessig revisjon.
- Overvåk og oppdater sikkerhetskontroller: Overvåk regelmessig sikkerhetskontrollene og konfigurasjonene til signeringsinfrastrukturen din, inkludert HSM-er, tidsstemplingstjenester og lagringssystemer. Hold deg oppdatert med sikkerhetsoppdateringer, fastvareoppdateringer og bransjebestemmelser for HSM- og dokumentsigneringsteknologier.
For selvstyrte HSM dokumentsigneringsløsninger, kontakt sales@ssl.com.
For en veiledning om SSL.com-støttede sky-HSM-er, vennligst besøk denne artikkelen: Støttede Cloud HSM-er for dokumentsignering og EV-kodesignering.
Skjema for forespørsel om sky HSM-tjenester
Hvis du ønsker å bestille digitale sertifikater for installasjon på en støttet cloud HSM-plattform (AWS CloudHSM eller Azure Dedicated HSM), vennligst fyll ut og send inn skjemaet nedenfor. Etter at vi har mottatt forespørselen din, vil et medlem av SSL.coms ansatte kontakte deg med flere detaljer om bestillings- og attestasjonsprosessen.
