SSL.com tillhandahåller nyckelfärdiga fjärrsigneringstjänster för moln genom vårt API för eSigner-signering som inkluderar lagring och hantering av privata nycklar.
Men många användare föredrar att använda sin egen HSM- eller moln-HSM-tjänst för att lagra privata nycklar som används för att signera dokument.
LTV-signaturer möjliggör verifiering utan att förlita sig på externa system eller arkiv. All nödvändig valideringsinformation ingår i själva dokumentet, vilket gör det självständigt. Detta är särskilt viktigt för långsiktig verifiering, eftersom externa system eller förråd kan bli otillgängliga eller förändras med tiden.
Med LTV-signaturer förblir verifieringsprocessen oberoende och självförsörjande.
Nedan finns en lista över bästa praxis som användare kan hänvisa till för att aktivera LTV-signaturer för dokumentsignering när de använder din egen HSM- eller moln-HSM-tjänst.
- Förbered dokumentet: Se till att dokumentet du vill signera är i ett lämpligt format, till exempel PDF/A eller ett enkelt PDF-dokument. PDF/A är speciellt utformad för långsiktig arkivering och säkerställer att dokumentets integritet bibehålls över tid.
- Använd kryptografiska tidsstämplar: LTV-signaturer kräver en pålitlig och pålitlig tidskälla. Kryptografiska tidsstämplar tillhandahåller detta genom att säkert länka signaturen till en specifik tidpunkt, vilket förhindrar backdatering eller manipulering. Använd en betrodd tidsstämplingsmyndighet som SSL.com eller en intern tidsstämplingstjänst inom din organisation.
SSL.coms tidsstämplingsserver är kl http://ts.ssl.com/. Som standard stöder SSL.com tidsstämplar från ECDSA-nycklar.Om du stöter på det här felet: Tidsstämpelcertifikatet uppfyller inte ett minimikrav på offentlig nyckellängd, kan det vara så att din HSM-leverantör inte tillåter tidsstämplar från ECDSA-nycklar om inte en begäran görs.
Om det inte finns något sätt för din HSM-leverantör att tillåta att den normala slutpunkten används, kan du använda denna äldre slutpunkt http://ts.ssl.com/legacy för att få en tidsstämpel från en RSA Timestamping Unit.
- Bevara information om återkallelse av certifikat: För att bibehålla giltigheten av signaturer över tid är det viktigt att bevara informationen om återkallelse av certifikatet. Detta inkluderar Certificate Revocation Lists (CRL) eller OCSP-svaren (Online Certificate Status Protocol) som används för att verifiera undertecknarens certifikat.
För användare av Java-språk kan du se PDFBox Java-bibliotek som innehåller exempel för att skapa LTV-signaturer. Den innehåller också exempel på signaturtidsstämplar.
Här är en exempelkod på hur man bäddar in information om återkallelse (CRL) för dokumentsigneringscertifikatkedjan i PDF-dokumentet: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Arkiv undertecknade dokument: Håll ett säkert och organiserat arkiv över alla signerade dokument, inklusive eventuella mellanversioner. Detta säkerställer att de signerade dokumenten och tillhörande valideringsinformation, såsom tidsstämplar och återkallelsedata, är lättillgängliga för långsiktig verifiering. Implementera lämpliga lagringsmekanismer för att förhindra obehörig åtkomst, manipulering eller förlust av data.
- Verifiera signaturen: Implementera en verifieringsprocess för att säkerställa att signaturen kan valideras korrekt. Detta innebär att man använder den publika nyckeln som är associerad med signeringscertifikatet för att verifiera signaturens integritet, kontrollera tidsstämpeln för giltighet och verifiera certifikatets återkallelsestatus.
- Konfigurera HSM korrekt: Se till att HSM:erna är korrekt konfigurerade och underhållna och följer branschstandarder och bästa praxis för nyckelhantering, såsom nyckelrotation, starka åtkomstkontroller och regelbunden revision.
- Övervaka och uppdatera säkerhetskontroller: Övervaka regelbundet säkerhetskontrollerna och konfigurationerna av din signeringsinfrastruktur, inklusive HSM, tidsstämplingstjänster och lagringssystem. Håll dig uppdaterad med säkerhetskorrigeringar, firmwareuppdateringar och branschpraxis för HSM- och dokumentsigneringsteknik.
För självhanterade HSM-dokumentsigneringslösningar, kontakta sales@ssl.com.
För en guide om SSL.com-stödda moln-HSM:er, besök den här artikeln: Stödda moln HSM för dokumentsignering och EV-kodsignering.
Cloud HSM-tjänsteförfrågningsformulär
Om du vill beställa digitala certifikat för installation på en moln-HSM-plattform (AWS CloudHSM eller Azure Dedicated HSM), vänligen fyll i och skicka in formuläret nedan. Efter att vi har tagit emot din förfrågan kommer en medlem av SSL.coms personal att kontakta dig med mer information om beställnings- och attestprocessen.
