使用 eSigner 云签名启用第三方签名证书

了解 SSL.com 的 eSigner 云签名服务如何安全地存储和利用第三方数字证书和密钥,以便随时随地进行增强的数字签名

相关内容

想继续学习吗?

订阅 SSL.com 的新闻通讯,随时了解最新信息并获得安全保障。

本指南介绍了 SSL.com 的 eSigner 云签名服务如何存储第三方数字证书及其相关私钥。eSigner 提供了一种方便且安全的方法,可以从任何位置向文档和代码添加全球信任的数字签名和时间戳,而无需 USB 令牌或特殊硬件。利用基于云的符合 FIPS 标准的硬件设备,eSigner 可以安全地存储证书和密钥,这些证书和密钥可通过个人凭证或 eSigner Express 应用程序或符合云签名联盟 (CSC) 标准的 API 等平台访问。 

想要在 eSigner 中存储第三方证书的用例包括以下内容: 

  • 现有证书。想要使用 eSigner 的客户可能拥有尚未过期的外部证书,并且他们希望最大化其有效期值,或者有其他义务使用除 SSL.com 之外的其他公共信任证书颁发机构的证书。 

  • 符合 eIDAS 标准的证书. 文档签名证书必须符合欧盟的 eIDAS(电子身份识别、认证和信任服务)或其他区域标准要求。任何经欧洲电信标准协会 (ETSI) 审核并颁发符合 eIDAS 标准的证书的证书颁发机构 (CA) 颁发的证书也可以与 eSigner 一起使用。SSL.com 拥有首选合作伙伴,如果客户没有购买符合 eIDAS 标准的证书,SSL.com 可以协助客户购买。 
尤其是,eSigner 在存储代码签名证书的私钥方面具有巨大价值。自 1 年 2023 月 140 日起,证书颁发机构/浏览器 (CA/B) 论坛要求将所有类型的代码签名证书(个人验证、组织验证和扩展验证)的私钥存储在至少为 FIPS 2-2 XNUMX 级的硬件加密模块中。此新密钥存储要求旨在提高代码签名密钥的安全性。以前的规则允许将 OV 和 IV 代码签名证书生成为本地存储的 .pfx 文件,其中包含证书和私钥。由于新要求仅允许使用加密的 USB 令牌或其他符合 FIPS 标准的硬件设备来存储私钥,因此预计代码签名密钥被恶意行为者窃取和滥用的情况将大大减少。作为一项云签名服务,eSigner 还克服了基于令牌的代码签名的局限性,因为它可以实现自动代码签名,并与流行的 CI/CD 工具(包括 Github Actions、Jenkins、Gitlab CI、Travis、BitBucket、Azure DevOps 和 Circle CI)实现强大的集成。

步骤 1:购买 eSigner 订阅

此服务适用于所有 SSL.com 代码签名和文档签名客户,确保与 Adob​​e Acrobat、Microsoft Office 等主要软件以及 Windows 和 Linux 等操作系统兼容。有关如何购买 eSigner 订阅的信息,请访问我们的 服务页面.

第 2 步:请求 CSR 来自SSL.com

申请数字证书时,组织会发送证书签名请求(CSR)提交给 SSL.com 等受信任的证书颁发机构。此加密消息包括订阅者的姓名、域名、位置和国家/地区等基本详细信息,以及证书的公钥。通过创建和签署 CSR 订阅者使用其私钥来确认所提供信息的真实性。 
 

步骤 3:从第三方 CA 订购并颁发证书

  1. 访问第三方 CA 的网站: 
    1. 转到您要购买证书的认证机构的网站。 
  2. 选择证书类型:
    1. 选择您签名所需的证书类型。对于符合 eIDAS 的文档签名证书,仅支持法人实体的高级电子封条和自然实体的高级电子签名。  
  3. 提交 CSR: 
    1. 在证书订购过程中,提交 CSR 由 SSL.com 提供。 
  4. 完成验证: 
    1. 按照 CA 的步骤进行操作,其中包括对电子印章的组织和法定代表人(或正式授权的代表)的验证或对电子签名的个人验证。
    2. 这可能涉及提供额外的文件或完成特定的验证程序,例如与公证人/律师/注册会计师进行面对面的识别。 
  5. 颁发证书: 
    1. 一旦验证成功,CA就会颁发证书。 
    2. 下载已颁发的证书。 

步骤 4:向 SSL.com 提交已颁发的证书 

下载的证书将提交给为订户指定的 SSL.com 代理。为订户指定的 SSL.com 代理将提供更新,直到签名证书可以在 eSigner 上使用。  

步骤 5:在 eSigner 上测试您的证书

有 3 种 eSigner 工具可用于代码签名:
  1. 电子签名者快递:基于浏览器的应用程序,您可以使用您的 SSL.com 帐户凭据登录并上传您想要签名的文件。
  2. eSigner 云密钥适配器/eSigner CKA:基于 Windows 的应用程序,它使用 CNG 接口(KSP 密钥服务提供商)允许 certutil.exe 和 signtool.exe 等工具使用符合 eSigner 云签名联盟 (CSC) 的 API 进行企业代码签名操作。
  3. eSigner 代码签名工具:一种安全、面向隐私的多平台 Java 命令行实用程序,用于远程签名 Microsoft Authenticode 和 Java 代码对象 电子签名者 EV 代码签名证书。
您可以使用 4 种 eSigner 工具来签署文档: 
  1. eSigner Express。 一个基于浏览器的应用程序,您可以使用您的 SSL.com 帐户凭据登录并上传您想要签名的文件。
  2. eSigner 文档签名工具. 一个安全、注重隐私的多平台 Java 命令行实用程序,用于使用远程签名 PDF 文件 电子签名者 文件签名证书。
  3. 电子签名者 CSC API. 使用 Cloud Signature Consortium (CSC) API 对文档哈希和 PDF 文件进行数字签名。您可以将其与以下任一方式结合使用: 卷曲 or 邮差.
  4. eSigner 文档签名网关. 对于希望保持文档机密性而无需发送文件或开发定制软件的公司来说,这是一个简单的解决方案。
  5. 文档签名监视文件夹. 一种适用于 Windows 和 Linux 的签名服务,只需将大量电子文档(包括 PDF)放入文件夹中即可对其进行签名。
如果您在使用 eSigner 时遇到任何问题,请随时联系您的客户经理。

保持信息灵通和安全

SSL.com 是网络安全领域的全球领导者, PKI 和数字证书。注册以接收最新的行业新闻、提示和产品公告 SSL.com.

我们希望收到您的反馈

参加我们的调查,让我们知道您对最近购买的想法。