iText: какие типы сертификатов используют люди для автоматизации подписи PDF в Linux?
У меня есть приложение малого объема (<500 PDF / год) для автоматической цифровой подписи файлов PDF с помощью iText в Java на Linux.
У меня есть iText, добавляющий цифровую подпись в PDF-файлы, используя мой сертификат SSL. Является ли это допустимым методом подтверждения того, что PDF был создан моим доменом (например, сервером)? Можно ли его как-то использовать, чтобы получить зеленые галочки, показывающие "доверие" в Adobe Reader?
Если нет, я должен использовать сертификат, предназначенный для PDF-файлов (например, не мой SSL-сертификат), чтобы маленькие зеленые галочки, указывающие на "доверие", появлялись естественным образом, когда пользователь открывает документ PDF.
Книга http://itextpdf.com/book/digitalsignatures делает большую работу, представляя мне эту тему (у меня очень мало опыта в этой области).
В книге рассказывается об устройстве SafeNet Luna (HSM), но оно слишком дорогое. Мне нужно только минимальное решение, а у Луны много наворотов. Устройство Luna PCIe дешевле, но мне не нужны никакие другие функции, кроме предоставления сертификата, который я могу использовать для подписи. Кроме того, USB-устройство SafeNet iKey, кажется, продается только для устройств Windows. У кого-нибудь есть iKey, работающий с Linux? Это вообще возможно? Другие компании предлагают устройства на базе USB, которые работают на Linux?
Я ищу минимальное решение для обслуживания автоматизированных PDF-файлов с цифровой подписью на Linux-боксе. Я уверен, что у многих малых предприятий есть подобные потребности. Я просто пытаюсь использовать имеющиеся знания там. Как люди решают эту проблему?
Решения, которые я вижу для автоматизации этого процесса, предполагают, что крупные корпорации используют Adobe Live Cycle и имеют соответствующую цену (см., Например, https://www.globalsign.com/pdf-signing/compare-pdf-signing.html). Но малому бизнесу тоже нужно автоматизировать вещи.
В идеале кто-то продаст сертификат, аналогичный сертификатам SSL, но для файлов PDF. Что-то подобное существует?
Является ли аппаратное обеспечение (в некотором роде) требованием (кажется так)? Если оборудование является требованием, существуют ли какие-либо минимальные решения (например, с ограниченной функциональностью, кроме включения цифровой подписи)?
Надеюсь, кто-то может помочь мне увидеть лес с деревьев. Что такое общепринятое мнение?
1 ответ
Относительно подписания с помощью вашего SSL-сертификата: в будущей версии iText мы требуем, чтобы использование сертификата ключом указывало на то, что сертификат можно использовать для отказа от авторства. На данный момент ответственность за проверку использования ключей лежит на разработчике, но в идеальном мире вы должны подписывать только сертификаты, подходящие для отказа от авторства, и ваш сертификат SSL, вероятно, этого не позволяет.
Относительно зеленой галочки: если вы не можете попросить потребителей ваших PDF-файлов добавить корневой сертификат вашего сертификата в список доверенных удостоверений, вам всегда потребуется открытый / закрытый ключ, хранящийся на оборудовании, чтобы получить зеленую галочку.
Относительно цены на ключ HSM / USB. USB-ключи намного дешевле, но обычно они предназначены для ручного использования (обычно они имеют предел подписи только один раз в секунду). Я думаю, что у GlobalSign есть разновидность ключей, которые работают в Linux. Что касается HSM, один из наших клиентов сказал нам, что он купил один из Utimaco, потому что это было дешевле (но я не знаю, какой бюджет у него был или потратил).
Нет информации о цене, но, возможно, хорошее чтение для вдохновения: http://www.opendnssec.org/wp-content/uploads/2011/01/A-Review-of-Hardware-Security-Modules-Fall-2010.pdf