ADSS Server – Utilizarea profilurilor de semnare si verificare

ADSS Server reprezinta un server multifuntional care ofera servicii web pentru crearea si verificarea semnaturii electronice, precum si servicii pentru suportul infrastructurii ca de exemplu: servicii Time Stamp Authority (TSA), servicii de validare OCSP si servicii de certificare.

Aceasta prezentare prezinta profilurile diferite (de exemplu seturi de configuratii) care pot fi create pe ADSS Server. Sunt descrise in special atributele profilurilor de semnare si verificare si modul in care acestea pot fi asociate cu aplicatiile de business care realizeaza apeluri catre ADSS Server. Aceasta abordare asigura ca accesul la diferite profiluri de incredere si parametri asociati, ca de exemplu chei de semnare disponibile numai pentru aplicatii de business autorizate.

Profiluri de semnare

Scopul profilurilor de semnare ale ADSS Server este sa configureze atributele si aspectele semnaturii electronice care vor fi create. Odata ce un profil de semnare este configurat de administratorul cu drepturile corespunzatoare al ADSS Server, aplicatiile de business pot face referire la acest profil de semnare in mesajul de solicitare a serviciilor web. Acest lucru elimina toata gestiunea superioara a configuratiei din aplicatie. Poate fi configurat orice numar de profiluri de semnare pentru a indeplini diferite cerinte ale aplicatiei. Atributele principale care pot fi configurate intr-un profil de semnare sunt:

Identificatorul profilului de semnare

Profilurile de semnare sunt identificate unic in ADSS Server prin intermediul unui sistem denumit Profile ID: Vezi imagine>>

Tipul de semnatura

Unul din principalele elemente ale profilului de semnare este tipul semnaturii care va fi generata. In ADSS Server este posibila configurarea unui tip de semnatura dintr-un set complet de standarde de semnatura: Vezi imagine>>

In ADSS Server sunt suportate semnaturile electronice bazate pe politici explicite (Explicit Policy-based Electronic Signatures – ES-EPES). Acestea sunt configurate separat prin alegerea lor dintr-un meniu, deoarece multe dintre aceste semnaturi avansate pot avea elemente ES-EPES incorporate in ele. Setarile pentru profilurile ES-EPES sunt: Vezi imagine>>

Aceasta permite administratorilor sa defineasca politica OID a semnaturii care va fi utilizata atunci cand se creeaza semnatura sub acest profil de semnare. O politica URI a semnaturii si notificarea utilizatorului pot fi configurate ca sa fie incorporate in semnatura creata.

Ca si in imaginea de mai sus formatul semnaturii permite relatiei semnatura/document sa fie definita. “Enveloping” inseamna ca semnatura se desfasoara in jurul documentului. “Enveloped” inseamna ca semnatura este inglobata in document si “Detached” inseamna ca semnatura este furnizata ca parte separata a documentului original.

Certificatul de semnare

Puteti configura un certificat implicit care sa fie utilizat cu acest profil de semnare. Acest certificat poate fi suprascris la cerere astfel incat sa permita aplicatiilor de business sa utilizeze acest profil de semnare cu o gama de certificate care sunt disponibile pentru el. Vezi imagine>>

 

Aici puteti defini si tipul de certificat care este acceptabil pentru scopuri de semnare sub acest profil de semnare. In multe cazuri este solicitata sau chiar obligatorie o cheie de utilizare de “non-repudiere”.

Detaliile aspectului semnaturii

 

Documentele PDF detine capabitatea de a afisa aspectele semnaturii electronice in document. ADSS Server de la Ascertia detine un set sofisticat de controale pentru a determina modul in care ar trebui afisate aspectele semnaturii. Aceste optiuni include dimensiunile semnaturii, locul in care sa fie plasat pe documentul PDF, daca vor fi utilizate etichete, daca sunt afisate sau nu motivul semnarii, locatia, data si ora si detaliile contactului. Semnatura olografa si logo-ul companiei pot fi aplicate, fiind disponibile chiar si sigle profesionale.

ADSS Server poate semna in campuri goale de semnatura predefinite, poate crea semnaruri pe pagini multiple si poate identifica ultima pagina – o caracteristica utila atunci aveti de a face cu documente de dimensiuni mari.

Urmatoarea captura de ecran afiseaza setarile profilurile de semnare GUI: 
Vezi imagine1>>  
Vezi imagine 2>>

Daca este selectata optiunea de suprascriere de catre administratorul ADSS Server, aceasta permite unei aplicatii de business sa furnizeze o informatie suprascrisa intr-un mesaj de solicitare pentru un parametru specificat atunci cand se utilizeaza acest profil. Preferintele XML pot fi utilizate pentru a modifica aspectul semnaturii pentru a crea semnaturii variate, de exemplu: 
Vezi imagine1>> 
Vezi imagine 2>>

Aplicatii de business pentru autentificare

Aplicatiile de buziness reprezinta clienti pentru ADSS Server. Ele pot fi autentificate prin utilizarea unuia dintre urmatoarele trei tehnici in functie de nivelul de securitate dorit:

  • Inscrierea unei aplicatii de business in ADSS Client Manager si atribuirea unui “Originator ID”. Aplicatia de business trebuie sa utilizeze acest “Originator ID” in mesajele ei de solicitare a serviciilor pentru a putea fi autentificata cu succes de ADSS Server.
  • Mesajele de solicitare a serviciilor pot fi trimite prin conectare SSL cu clientul de autentificare activ. Certificatul client SSL al aplicatiei de business trebuie sa fie inregistrat in ADSS Server si valoarea Subject Common Name a certificatului trebuie sa corespunda cu “Originator ID”.
  • Aplicatia de business poate semna mesajele de solicitare a serviciilor prin utilizarea unui certificat de semnare a solicitarii. Acest certificat trebuie sa fie inregistrat in ADSS Server. Formatul semnaturii este XML Dsig. Vezi imagine>>

Toate cele trei nivele de securitate pot fi folosite impreuna.

Autorizarea aplicatiilor de business pentru profiluri specifice

Atunci cand inregistrati aplicatiile de business pe ADSS Server este posibil sa configurati care dintre profilurile de semnare existente (dupa cum s-a discutat mai sus) sunt disponibile pentru acest client de business dupa este afisat mai jos. Prima casuta din Client Manager defineste daca aplicatia de business poate realiza solicitari de servicii de semnare: Vezi imagine>>

Administratorii autorizati pot sa selecteze un profil disponibil si sa-l mute in lista selectata prin apasarea butonului “>>”. Aceasta actualizeaza profilurile atribuite pentru aceasta aplicatie de business. Intr-un mod asemanator, administratorii pot controla care set de chei si certificate pastrate pe server sunt disponibile pentru aceasta aplicatie de business pentru utilizarea cu profilurile de semnare: Vezi imagine>>

Deci este posibil sa restrictionati care dintre aplicatiile de business pot solicita: servicii de creare a semnaturii, profiluri de semnare la care se pot referi, care chei de semnare a documentelor pot fi utilizate, formatul semnaturilor care vor fi aplicate, unde si cum vor aparea.

Verificarea profilurilor

La fel ca si profilurile de semnare, ADSS Server suporta conceptul de verificare a profilurilor. Acestea definesc tipul de semnaturi care pot fi verificate: Vezi imagine>>

Profilurile de verificare configurate pot fi si ele atribuite aplicatiilor de business specifice: Vezi imagine>>

Este important ca este posibil sa atribuiti sub-set de ancore de incredere specifice aplicatiilor de business astfel incat nu este nevoie sa fie credibilizate toate CA-urile care sunt inregistrate pe ADSS Server pentru alti clienti: 
Vezi imagine>>

Nivelurile minime de calitate cu semnatura si certificat pot fi configurate pe aplicatia de busines pentru a permite aplicatiei sa respinga semnaturi care de exemplu nu sunt calificate, sau nu utilizeaza un smart-token pentru a proteja cheia privata sau pentru a utiliza algoritmi acceptabili. Administratorul pot sa configureze si lista de politici de certificat acceptabile care sunt solicitate de aplicatia de business si de verificarile de nivel scazut a certificatului care trebuie realizate pe certificatul semnatarului: 
Vezi imagine>>

ADSS Server permite un control detaliat al politicii de semnatura pentru aplicatia de business.

Concluzie

 ADSS Server ofera un set de caracteristici pentru suportul diferitelor tipuri de semnaturi, pentru configurarea diferitelor profiluri de semnare si verificare si pentru crearea legaturii catre aplicatiile de business. Autentificarea solida, autorizarea, controalele bazate pe roluri, logarea sigura a actiunilor operatorului si solicitarile/raspunsul aplicatiei asigura cel mai inalt nivel de securitate.

Despre noi

Suntem prezenti pe piata in domeniul securitatii informatice din anul 1994.

Distribuim in Romania solutii de securitate dezvoltate in domeniu de catre lideri de piata.

Oferim servicii de asistenta in domeniu.

Contact

Ro Interactive Technologies S.R.L.
Str. Aurel Suciu nr. 63 ap. 1
400440 Cluj-Napoca
Tel: 0040-264-418929; 0040-744-799248
Fax: 0040-264-418929
Email:  This email address is being protected from spambots. You need JavaScript enabled to view it.

Mighty Free Joomla Templates by MightyJoomla