SSL.com предоставляет готовые услуги удаленной облачной подписи «под ключ» через наш API операций подписи eSigner, который включает в себя хранение и управление закрытыми ключами.
Однако многие пользователи предпочитают использовать собственный HSM или облачный сервис HSM для хранения закрытых ключей, используемых для подписи документов.
Подписи LTV позволяют проводить проверку, не полагаясь на внешние системы или репозитории. Вся необходимая информация для проверки включена в сам документ, что делает его самодостаточным. Это особенно важно для долгосрочной проверки, поскольку внешние системы или репозитории могут со временем стать недоступными или измениться.
Благодаря подписям LTV процесс проверки остается независимым и самодостаточным.
Ниже приведен список рекомендаций, к которым пользователи могут обратиться, чтобы включить подписи LTV для подписи документов при использовании собственного HSM или облачного сервиса HSM.
- Подготовьте документ: убедитесь, что документ, который вы хотите подписать, имеет подходящий формат, например PDF/A или простой документ PDF. PDF/A специально разработан для долгосрочного архивирования и гарантирует сохранение целостности документа с течением времени.
- Используйте криптографические временные метки: Подписи LTV требуют надежного и проверенного источника времени. Криптографические временные метки обеспечивают это, надежно привязывая подпись к определенному времени, предотвращая любое датирование или подделку. Используйте доверенный центр меток времени, например SSL.com, или внутреннюю службу меток времени внутри вашей организации.
Сервер временных меток SSL.com находится по адресу http://ts.ssl.com/. По умолчанию SSL.com поддерживает временные метки из ключей ECDSA.Если вы столкнулись с этой ошибкой: Сертификат временной метки не соответствует требованиям к минимальной длине открытого ключа, возможно, ваш поставщик HSM не разрешает использование временных меток из ключей ECDSA, пока не будет сделан запрос.
Если у вашего поставщика HSM нет возможности разрешить использование обычной конечной точки, вы можете использовать эту устаревшую конечную точку. http://ts.ssl.com/legacy чтобы получить временную метку из модуля временных меток RSA.
- Сохранять информацию об отзыве сертификатов: Чтобы сохранить действительность подписей в течение длительного времени, крайне важно сохранить информацию об отзыве сертификата. Сюда входят списки отзыва сертификатов (CRL) или ответы протокола статуса онлайн-сертификатов (OCSP), используемые для проверки сертификата подписывающего лица.
Для пользователей языка Java вы можете обратиться к Java-библиотека PDFBox который содержит примеры создания подписей LTV. Он также включает примеры меток времени подписи.
Вот пример кода, как встроить информацию об отзыве (CRL) цепочки сертификатов подписи документа в PDF-документ: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Архивировать подписанные документы: Сохраняйте безопасный и организованный архив всех подписанных документов, включая любые промежуточные версии. Это гарантирует, что подписанные документы и связанная с ними информация для проверки, такая как временные метки и данные отзыва, будут легко доступны для долгосрочной проверки. Внедрите надлежащие механизмы хранения для предотвращения несанкционированного доступа, подделки или потери данных.
- Проверьте подпись: внедрить процесс проверки, чтобы убедиться, что подпись может быть проверена правильно. Это предполагает использование открытого ключа, связанного с сертификатом подписи, для проверки целостности подписи, проверки действительности временной метки и проверки статуса отзыва сертификата.
- Правильно настройте HSM: Убедитесь, что HSM правильно настроены и обслуживаются, а также соответствуют отраслевым стандартам и передовым практикам управления ключами, таким как ротация ключей, строгий контроль доступа и регулярный аудит.
- Мониторинг и обновление средств контроля безопасности: регулярно отслеживайте элементы управления безопасностью и конфигурации вашей инфраструктуры подписи, включая HSM, службы меток времени и системы хранения. Будьте в курсе обновлений безопасности, обновлений встроенного ПО и лучших отраслевых практик для HSM и технологий подписи документов.
Для получения информации о решениях для самостоятельного подписания документов HSM обращайтесь sales@ssl.com.
Руководство по облачным HSM с поддержкой SSL.com можно найти в этой статье: Поддерживаемые облачные HSM для подписи документов и подписи кода EV.
Форма запроса на обслуживание Cloud HSM
Если вы хотите заказать цифровые сертификаты для установки на поддерживаемой облачной платформе HSM (AWS CloudHSM или Azure Dedicated HSM), заполните и отправьте форму ниже. После того, как мы получим ваш запрос, сотрудник SSL.com свяжется с вами и предоставит более подробную информацию о процессе заказа и аттестации.
