SSL.com, özel anahtarların depolanmasını ve yönetimini içeren eSigner imzalama işlemleri API'miz aracılığıyla anahtar teslim uzaktan bulut imzalama hizmetleri sağlar.
Ancak birçok kullanıcı, belgeleri imzalamak için kullanılan özel anahtarları depolamak için kendi HSM'sini veya bulut HSM hizmetini kullanmayı tercih eder.
LTV imzaları, harici sistemlere veya depolara bağlı kalmadan doğrulama yapılmasına olanak tanır. Gerekli tüm doğrulama bilgileri belgenin kendi içinde yer alır ve bu da onu bağımsız kılar. Harici sistemler veya depolar zamanla kullanılamayabileceği veya değişebileceği için bu, uzun vadeli doğrulama için özellikle önemlidir.
LTV imzalarıyla doğrulama süreci bağımsız ve kendi kendine yeterli kalır.
Aşağıda, kendi HSM'nizi veya bulut HSM hizmetinizi kullanırken belge imzalama için LTV imzalarını etkinleştirmek amacıyla kullanıcıların başvurabileceği en iyi uygulamaların bir listesi bulunmaktadır.
- Belgeyi hazırlayın: İmzalamak istediğiniz belgenin PDF/A veya basit bir PDF belgesi gibi uygun bir formatta olduğundan emin olun. PDF/A, özellikle uzun vadeli arşivleme için tasarlanmıştır ve belgenin bütünlüğünün zaman içinde korunmasını sağlar.
- Şifreleme Zaman Damgalarını Kullan: LTV imzaları güvenilir ve güvenilir bir zaman kaynağı gerektirir. Kriptografik zaman damgaları, imzayı belirli bir zamana güvenli bir şekilde bağlayarak bunu sağlar ve herhangi bir geriye dönük tarihlemeyi veya tahrifatı önler. SSL.com gibi güvenilir bir zaman damgası yetkilisi veya kuruluşunuz içindeki dahili bir zaman damgası hizmeti kullanın.
SSL.com'un zaman damgası sunucusu şu adreste: http://ts.ssl.com/. Varsayılan olarak SSL.com, ECDSA anahtarlarından gelen zaman damgalarını destekler.Bu hatayla karşılaşırsanız: Zaman damgası sertifikası minimum ortak anahtar uzunluğu gereksinimini karşılamıyor; HSM satıcınız, bir istek yapılmadığı sürece ECDSA anahtarlarından zaman damgalarına izin vermiyor olabilir.
HSM satıcınızın normal uç noktanın kullanılmasına izin vermesinin bir yolu yoksa bu eski uç noktayı kullanabilirsiniz. http://ts.ssl.com/legacy RSA Zaman Damgası Birimi'nden bir zaman damgası almak için.
- Sertifika İptal Bilgilerini Koru: İmzaların geçerliliğini zaman içinde korumak için sertifika iptal bilgilerinin korunması çok önemlidir. Buna, imzalayanın sertifikasını doğrulamak için kullanılan Sertifika İptal Listeleri (CRL'ler) veya Çevrimiçi Sertifika Durum Protokolü (OCSP) yanıtları dahildir.
Java dili kullanıcıları için şu adrese başvurabilirsiniz: PDFBox Java kitaplığı LTV imzaları oluşturmaya yönelik örnekler içerir. Ayrıca imza zaman damgası örneklerini de içerir.
Aşağıda, belge imzalama sertifikası zincirinin iptal bilgilerinin (CRL'ler) PDF belgesinin içine nasıl yerleştirileceğine ilişkin örnek bir kod verilmiştir: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- İmzalı Belgeleri Arşivle: Ara sürümler de dahil olmak üzere tüm imzalı belgelerin güvenli ve düzenli bir arşivini tutun. Bu, imzalanan belgelerin ve zaman damgaları ve iptal verileri gibi ilgili doğrulama bilgilerinin uzun vadeli doğrulama için hazır olmasını sağlar. Yetkisiz erişimi, kurcalamayı veya veri kaybını önlemek için uygun depolama mekanizmalarını uygulayın.
- İmzayı doğrulayın: İmzanın doğru şekilde doğrulanabildiğinden emin olmak için bir doğrulama süreci uygulayın. Bu, imzanın bütünlüğünü doğrulamak için imzalama sertifikasıyla ilişkili ortak anahtarın kullanılmasını, zaman damgasının geçerliliğinin kontrol edilmesini ve sertifikanın iptal durumunun doğrulanmasını içerir.
- HSM'leri doğru şekilde yapılandırın: HSM'lerin uygun şekilde yapılandırıldığından ve bakımının yapıldığından ve anahtar rotasyonu, güçlü erişim kontrolleri ve düzenli denetim gibi anahtar yönetimine yönelik endüstri standartlarına ve en iyi uygulamalara bağlı olduğundan emin olun.
- Güvenlik Kontrollerini İzleyin ve Güncelleyin: HSM'ler, zaman damgası hizmetleri ve depolama sistemleri dahil olmak üzere imzalama altyapınızın güvenlik kontrollerini ve yapılandırmalarını düzenli olarak izleyin. HSM ve belge imzalama teknolojilerine yönelik güvenlik yamaları, ürün yazılımı güncellemeleri ve sektördeki en iyi uygulamalarla güncel kalın.
Kendi kendini yöneten HSM belge imzalama çözümleri için iletişime geçin sales@ssl.com.
SSL.com destekli bulut HSM'ler hakkında bir kılavuz için lütfen şu makaleyi ziyaret edin: Belge İmzalama ve EV Kod İmzalama için Desteklenen Bulut HSM'leri.
SSL.com destekli Cloud HSM'ler hakkında daha fazla bilgi edinin
Bulut HSM Hizmet Talep Formu
Desteklenen bir bulut HSM platformuna (AWS CloudHSM veya Azure Dedicated HSM) kurulum için dijital sertifika siparişi vermek isterseniz, lütfen aşağıdaki formu doldurun ve gönderin. Talebinizi aldıktan sonra, SSL.com personelinin bir üyesi, sipariş verme ve tasdik süreci hakkında daha fazla ayrıntı vermek üzere sizinle iletişime geçecektir.
