2

我有一个小批量(<500 个 PDF/年)应用程序,用于在 Linux 上使用 Java 中的 iText 对 PDF 文件进行自动数字签名。

我有 iText 使用我的 SSL 证书向 PDF 添加数字签名。这是证明 PDF 是由我的域(例如服务器)生成的有效方法吗?它可以以某种方式用于在 Adob​​e Reader 中获得显示“信任”的绿色复选标记吗?

如果不是,我应该使用用于 PDF 的证书(例如,不是我的 SSL 证书),以便在用户打开 PDF 文档时自然出现表示“信任”的绿色小复选标记。

http://itextpdf.com/book/digitalsignatures这本书很好地向我介绍了这个主题(我在这方面的经验很少)。

这本书谈到了 SafeNet Luna 设备(HSM),但它太贵了。我只需要一个最小的解决方案,而 Luna 有很多花里胡哨的东西。Luna PCIe设备较便宜,但除了提供可用于签名的证书外,我不需要任何功能。此外,基于 USB 的 SafeNet iKey设备似乎只面向 Windows 设备销售。有没有人让 iKey 在 Linux 上工作?甚至可能吗?其他公司是否提供在 Linux 上运行的基于 USB 的设备?

我正在寻找一种在 Linux 机器上提供自动数字签名 PDF 的最小解决方案。我相信很多小企业都有类似的需求。我只是想利用现有的知识。人们如何解决这个问题?

我看到的用于自动化此过程的解决方案假设大公司使用 Adob​​e Live Cycle,并相应地定价(参见例如:https ://www.globalsign.com/pdf-signing/compare-pdf-signing.html )。但小企业也需要自动化。

理想情况下,有人会出售类似于 SSL 证书的证书,但用于 PDF 文件。有这样的事吗?

硬件(某种)是必需的(似乎是这样)?如果需要硬件,是否有任何最小的解决方案(例如,除了启用数字签名之外,功能有限)?

希望有人能帮我从树上看森林。什么是传统智慧?

4

1 回答 1

3

关于使用您的 SSL 证书签名:在未来的 iText 版本中,我们要求证书的密钥使用表明该证书可用于不可否认性。目前,我们将检查密钥使用情况作为开发人员的责任,但在理想情况下,您应该只使用适合不可否认性的证书进行签名,而您的 SSL 证书可能不允许这样做。

关于绿色复选标记:除非您可以要求 PDF 的使用者将您的证书的根证书添加到受信任的身份列表中,否则您将始终需要存储在硬件上的公钥/私钥才能获得绿色复选标记。

关于 HSM / USB 密钥的价格。USB 密钥要便宜得多,但通常它们是供手动使用的(通常它们每秒只能签名一次)。我认为 GlobalSign 有一种适用于 Linux 的密钥。至于 HSM,我们的一位客户告诉我们,他从 Utimaco 购买了一台,因为它更便宜(但我不知道他有多少预算或花了多少预算)。

没有价格信息,但可能是一个很好的灵感读物:http ://www.opendnssec.org/wp-content/uploads/2011/01/A-Review-of-Hardware-Security-Modules-Fall-2010.pdf

于 2013-07-03T07:58:14.760 回答