SSL.com zapewnia gotowe usługi zdalnego podpisywania w chmurze za pośrednictwem naszego interfejsu API operacji podpisywania eSigner, który obejmuje przechowywanie kluczy prywatnych i zarządzanie nimi.
Jednak wielu użytkowników woli korzystać z własnego HSM lub usługi HSM w chmurze do przechowywania kluczy prywatnych używanych do podpisywania dokumentów.
Podpisy LTV pozwalają na weryfikację bez polegania na zewnętrznych systemach i repozytoriach. Wszystkie niezbędne informacje dotyczące walidacji znajdują się w samym dokumencie, dzięki czemu jest on samodzielny. Jest to szczególnie ważne w przypadku weryfikacji długoterminowej, ponieważ zewnętrzne systemy lub repozytoria mogą z czasem stać się niedostępne lub ulec zmianie.
Dzięki podpisom LTV proces weryfikacji pozostaje niezależny i samowystarczalny.
Poniżej znajduje się lista najlepszych praktyk, z których mogą skorzystać użytkownicy, aby włączyć podpisy LTV do podpisywania dokumentów podczas korzystania z własnego modułu HSM lub usługi HSM w chmurze.
- Przygotuj dokument: Upewnij się, że dokument, który chcesz podpisać, jest w odpowiednim formacie, np. PDF/A lub prosty dokument PDF. PDF/A został specjalnie zaprojektowany do długoterminowej archiwizacji i zapewnia zachowanie integralności dokumentu w miarę upływu czasu.
- Używaj kryptograficznych znaczników czasu: Podpisy LTV wymagają niezawodnego i zaufanego źródła czasu. Zapewniają to kryptograficzne znaczniki czasu, bezpiecznie łącząc podpis z konkretną godziną, zapobiegając antydatowaniu lub manipulacji. Skorzystaj z zaufanego urzędu oznaczania czasu, takiego jak SSL.com, lub wewnętrznej usługi oznaczania czasu w swojej organizacji.
Serwer znacznika czasu SSL.com znajduje się pod adresem http://ts.ssl.com/. Domyślnie SSL.com obsługuje znaczniki czasu z kluczy ECDSA.Jeśli napotkasz ten błąd: Certyfikat znacznika czasu nie spełnia wymagań dotyczących minimalnej długości klucza publicznego, być może dostawca modułu HSM nie zezwala na znaczniki czasu z kluczy ECDSA, chyba że zostanie złożone żądanie.
Jeśli dostawca modułu HSM nie może zezwolić na użycie normalnego punktu końcowego, możesz użyć tego starszego punktu końcowego http://ts.ssl.com/legacy aby uzyskać znacznik czasu z jednostki znacznika czasu RSA.
- Zachowaj informacje o unieważnieniu certyfikatu: Aby zachować ważność podpisów przez długi czas, niezwykle ważne jest zachowanie informacji o unieważnieniu certyfikatu. Obejmuje to listy odwołań certyfikatów (CRL) lub odpowiedzi protokołu stanu certyfikatów online (OCSP) używane do weryfikacji certyfikatu osoby podpisującej.
Użytkownicy języka Java mogą zapoznać się z Biblioteka Java PDFBox który zawiera przykłady tworzenia podpisów LTV. Zawiera także przykłady znaczników czasu podpisu.
Oto przykładowy kod osadzania informacji o odwołaniu (CRL) łańcucha certyfikatów podpisywania dokumentów w dokumencie PDF: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Archiwizuj podpisane dokumenty: Prowadź bezpieczne i zorganizowane archiwum wszystkich podpisanych dokumentów, w tym wszelkich wersji pośrednich. Dzięki temu podpisane dokumenty i powiązane informacje dotyczące walidacji, takie jak znaczniki czasu i dane dotyczące odwołania, są łatwo dostępne do długoterminowej weryfikacji. Wdróż odpowiednie mechanizmy przechowywania, aby zapobiec nieautoryzowanemu dostępowi, manipulacji lub utracie danych.
- Sprawdź podpis: Wdrożenie procesu weryfikacji, aby upewnić się, że podpis może zostać poprawnie zweryfikowany. Wiąże się to z użyciem klucza publicznego powiązanego z certyfikatem podpisującym w celu sprawdzenia integralności podpisu, sprawdzenia ważności znacznika czasu i sprawdzenia statusu unieważnienia certyfikatu.
- Prawidłowo skonfiguruj moduły HSM: Upewnij się, że moduły HSM są prawidłowo skonfigurowane i utrzymywane oraz przestrzegają standardów branżowych i najlepszych praktyk w zakresie zarządzania kluczami, takich jak rotacja kluczy, silna kontrola dostępu i regularne audyty.
- Monitoruj i aktualizuj kontrole bezpieczeństwa: Regularnie monitoruj kontrole bezpieczeństwa i konfiguracje infrastruktury podpisywania, w tym moduły HSM, usługi znakowania czasem i systemy pamięci masowej. Bądź na bieżąco dzięki poprawkom zabezpieczeń, aktualizacjom oprogramowania sprzętowego i najlepszym praktykom branżowym w zakresie technologii HSM i podpisywania dokumentów.
Aby uzyskać informacje na temat samodzielnie zarządzanych rozwiązań do podpisywania dokumentów HSM, skontaktuj się z nami sales@ssl.com.
Przewodnik po modułach HSM w chmurze obsługiwanych przez SSL.com można znaleźć w tym artykule: Obsługiwane moduły HSM w chmurze do podpisywania dokumentów i podpisywania kodu EV.
Dowiedz się więcej o modułach Cloud HSM obsługiwanych przez SSL.com
Formularz zgłoszenia usługi Cloud HSM
Jeśli chcesz zamówić certyfikaty cyfrowe do instalacji na obsługiwanej platformie chmurowej HSM (AWS CloudHSM lub Azure Dedicated HSM), wypełnij i wyślij poniższy formularz. Po otrzymaniu Twojej prośby członek personelu SSL.com skontaktuje się z Tobą, aby przekazać więcej informacji na temat procesu zamawiania i atestowania.
