SSL.com cung cấp dịch vụ ký kết đám mây từ xa chìa khóa trao tay thông qua API hoạt động ký eSigner của chúng tôi, bao gồm việc lưu trữ và quản lý khóa riêng.
Tuy nhiên, nhiều người dùng thích sử dụng dịch vụ HSM hoặc dịch vụ HSM đám mây của riêng họ để lưu trữ khóa riêng dùng để ký tài liệu.
Chữ ký LTV cho phép xác minh mà không cần dựa vào hệ thống hoặc kho lưu trữ bên ngoài. Tất cả thông tin xác thực cần thiết đều được bao gồm trong chính tài liệu, khiến nó trở nên độc lập. Điều này đặc biệt quan trọng đối với việc xác minh lâu dài vì các hệ thống hoặc kho lưu trữ bên ngoài có thể không khả dụng hoặc thay đổi theo thời gian.
Với chữ ký LTV, quá trình xác minh vẫn độc lập và tự túc.
Dưới đây là danh sách các phương pháp hay nhất mà người dùng có thể tham khảo để kích hoạt chữ ký LTV để ký tài liệu khi sử dụng dịch vụ HSM hoặc HSM đám mây của riêng bạn.
- Chuẩn bị tài liệu: Đảm bảo rằng tài liệu bạn muốn ký có định dạng phù hợp, chẳng hạn như PDF/A hoặc tài liệu PDF đơn giản. PDF/A được thiết kế đặc biệt để lưu trữ lâu dài và đảm bảo tính toàn vẹn của tài liệu được duy trì theo thời gian.
- Sử dụng Dấu thời gian mật mã: Chữ ký LTV yêu cầu nguồn thời gian đáng tin cậy và đáng tin cậy. Dấu thời gian mật mã cung cấp điều này bằng cách liên kết chữ ký một cách an toàn với một thời gian cụ thể, ngăn chặn mọi lỗi ghi lùi hoặc giả mạo. Sử dụng cơ quan đánh dấu thời gian đáng tin cậy như SSL.com hoặc dịch vụ đánh dấu thời gian nội bộ trong tổ chức của bạn.
Máy chủ đánh dấu thời gian của SSL.com đang ở http://ts.ssl.com/. Theo mặc định, SSL.com hỗ trợ dấu thời gian từ khóa ECDSA.Nếu bạn gặp phải lỗi này: Chứng chỉ dấu thời gian không đáp ứng yêu cầu về độ dài khóa công khai tối thiểu thì có thể nhà cung cấp HSM của bạn không cho phép dấu thời gian từ khóa ECDSA trừ khi có yêu cầu.
Nếu nhà cung cấp HSM của bạn không có cách nào cho phép sử dụng điểm cuối thông thường, bạn có thể sử dụng điểm cuối cũ này http://ts.ssl.com/legacy để lấy dấu thời gian từ Đơn vị dấu thời gian RSA.
- Lưu giữ thông tin thu hồi chứng chỉ: Để duy trì hiệu lực của chữ ký theo thời gian, điều quan trọng là phải lưu giữ thông tin thu hồi chứng chỉ. Điều này bao gồm các phản hồi Danh sách thu hồi chứng chỉ (CRL) hoặc Giao thức trạng thái chứng chỉ trực tuyến (OCSP) được sử dụng để xác minh chứng chỉ của người ký.
Đối với người sử dụng ngôn ngữ Java, bạn có thể tham khảo Thư viện Java PDFBox trong đó có các ví dụ để tạo chữ ký LTV. Nó cũng bao gồm các ví dụ về dấu thời gian chữ ký.
Dưới đây là mã ví dụ về cách nhúng thông tin thu hồi (CRL) của chuỗi chứng chỉ ký tài liệu bên trong tài liệu PDF: https://svn.apache.org/viewvc/pdfbox/trunk/examples/src/main/java/org/apache/pdfbox/examples/signature/validation/AddValidationInformation.java?view=markup
- Lưu trữ tài liệu đã ký: Giữ một kho lưu trữ an toàn và có tổ chức của tất cả các tài liệu đã ký, bao gồm mọi phiên bản trung gian. Điều này đảm bảo rằng các tài liệu đã ký và thông tin xác thực liên quan, chẳng hạn như dấu thời gian và dữ liệu thu hồi, luôn sẵn có để xác minh lâu dài. Thực hiện các cơ chế lưu trữ thích hợp để ngăn chặn truy cập trái phép, giả mạo hoặc mất dữ liệu.
- Xác minh chữ ký: Thực hiện quy trình xác minh để đảm bảo rằng chữ ký có thể được xác thực chính xác. Điều này liên quan đến việc sử dụng khóa chung được liên kết với chứng chỉ ký để xác minh tính toàn vẹn của chữ ký, kiểm tra tính hợp lệ của dấu thời gian và xác minh trạng thái thu hồi của chứng chỉ.
- Cấu hình chính xác HSM: Đảm bảo rằng HSM được cấu hình và duy trì đúng cách, đồng thời tuân thủ các tiêu chuẩn ngành cũng như các biện pháp thực hành tốt nhất để quản lý khóa, chẳng hạn như xoay vòng khóa, kiểm soát truy cập mạnh mẽ và kiểm tra thường xuyên.
- Giám sát và cập nhật các biện pháp kiểm soát bảo mật: Thường xuyên giám sát các biện pháp kiểm soát bảo mật và cấu hình cơ sở hạ tầng ký kết của bạn, bao gồm HSM, dịch vụ đánh dấu thời gian và hệ thống lưu trữ. Luôn cập nhật các bản vá bảo mật, bản cập nhật chương trình cơ sở và các phương pháp hay nhất trong ngành dành cho công nghệ ký tài liệu và HSM.
Để biết giải pháp ký tài liệu HSM tự quản lý, hãy liên hệ bán hàng@ssl.com.
Để biết hướng dẫn về HSM đám mây được SSL.com hỗ trợ, vui lòng truy cập bài viết này: HSM đám mây được hỗ trợ để ký tài liệu và ký mã EV.
Biểu mẫu yêu cầu dịch vụ Cloud HSM
Nếu bạn muốn đặt hàng chứng chỉ kỹ thuật số để cài đặt trên nền tảng đám mây HSM được hỗ trợ (AWS CloudHSM hoặc Azure Dành riêng cho HSM), vui lòng điền và gửi biểu mẫu bên dưới. Sau khi chúng tôi nhận được yêu cầu của bạn, một nhân viên của SSL.com sẽ liên hệ với bạn để cung cấp thêm thông tin chi tiết về quy trình đặt hàng và chứng thực.
