Willkommen bei intarsys
Signaturprüfung

Sign Live! CC validation server

Sign Live! CC validation server

Serverbasierte Lösung zur Prüfung von Signaturen

prüfen

Sign Live! CC validation server prüft elektronische Signaturen, Siegel und Zeitstempel in großen Mengen vollautomatisch im Hintergrund

Signatur

Siegel

Zeitstempel

Signaturen, Siegel und Zeitstempel prüfen

Umfangreiche Funktionen

Sign Live! CC validation server

Über 0 Mio.
Prüfungen monatlich

Mandantenfähigkeit

Der Sign Live! CC validation server kann eine Vielzahl von Prozessen parallel abarbeiten. Für die Definition von mandantenspezifischen Prüfdiensten steht eine komfortable und intuitiv zu bedienende Benutzeroberfläche zur Verfügung.

Integrationsmöglichkeit

Für die Prozessintegration stehen umfangreiche Standardschnittstellen und Integrationsmöglichkeiten zur Verfügung. Je nach Bedarf kann die Anbindung über Verzeichnisüberwachung, Kommandozeilenaufruf, Programmierschnittstellen (API) wie XMLRPC, SOAP, ActiveX, HTTP, usw. erfolgen. Ebenfalls möglich ist die Verwendung in virtuellen Umgebungen. 

Internationalisierung

Der Sign Live! CC validation server ist international einsetzbar, egal ob von Deutschland, Österreich, einem anderen EU-Land, oder der Schweiz aus operiert wird.

Erweiterung Option LTV

Insbesondere für die Langzeitarchivierung von digital signierten  Dokumenten ist es sinnvoll, alle Signaturprüfinformationen in der Signatur abzulegen. Sign Live! CC validation server bietet bei der Signaturprüfung die Funktion, nachträglich die Validierungsinformationen und auch qualifizierte Zeitstempel in den Signaturinformationen abzulegen, ohne dass die Signatur gebrochen wird. Dies vereinfacht das Prüfen von Signaturen auch nach langen Aufbewahrungszeiträumen erheblich bzw. macht es überhaupt erst möglich.

Ob eine Signatur valide, also gültig ist, sollte auch nach vielen Jahren prüfbar sein. Um eine Signatur wieder prüfen zu können, müssen mehrere Informationen vorliegen:

  • War das verwendete Endbenutzer-Zertifikat zum Zeitpunkt seiner Verwendung gültig?
  • War die ausstellende CA (Certificate Authority ) dieses Zertifikates zum Zeitpunkt der Erstellung des Endbenutzerzertifikates vertrauenswürdig und das Wurzelzertifikat gültig?
  • Welche Qualitätsstufe hatte das verwendete Zertifikat? Einfach, fortgeschritten oder qualifiziert?

Um diese Fragen vertrauenswürdig beantworten zu können, führt eine Validierungsanwendung wie Sign Live! mehrere Prüfungen durch. Ein wichtiger Aspekt dieser Prüfung sind dabei Sperrprüfungen mittels OCSP (Online Certificate Status Protocol) d.h. Abfragen bei dem Vertrauensdiensteanbieter (VDA), der das verwendete Endbenutzerzertifikat ausgegeben hat. Damit diese OCSP-Abfragen durchgeführt werden können, muss dieser Dienst vom VDA online (Verzeichnisdienst) zur Verfügung gestellt werden. Die Antworten des VDA sind wiederum von diesem signiert, damit die Vertrauenswürdigkeit geprüft und somit sichergestellt werden kann. Dies erfolgt dann wiederum unter Einbeziehung von OCSP-Abfragen. Wie dies in vollem Umfang zu erfolgen hat, ist durch internationale Standards (ETSI) geregelt. Am Ende dieser Abfragen kann dann die Validierungsanwendung einen vertrauenswürdigen Status des verwendeten Endbenutzer-Zertifikates liefern.

Was ist aber, wenn der notwendige Verzeichnisdienst zeitweise oder dauerhaft nicht zur Verfügung steht? Eine zeitweise Störung kann vorliegen, wenn der benötigte Verzeichnisdienst einfach nicht online erreichbar ist. Oder was, wenn dieser durch Einstellung des VDA abgeschaltet wurde? Auch die zentrale Löschung von Informationen nach Ablauf von Aufbewahrungsfristen stellt einen Einschnitt dar. Das verwendete Endbenutzerzertifikat kann in solchen Fällen nicht geprüft werden und damit führt auch die komplette Signaturprüfung zu keinem eindeutigen Ergebnis.

Anders bei LTV-Signaturen. Bei dieser Art der Signatur werden alle benötigten Informationen, wieder nach internationalen Standards (ETSI), in die Signatur eingebettet. Im Falle von PDF-Dokumenten und -signaturen ist dies zum Beispiel durch den PAdES-Standard (ETSI EN 319 142) im Kontext des PAdES-B-LT-Profils technisch geregelt.

Die Einbettung der notwendigen Informationen kann sowohl bei der Signaturerstellung als auch später bei einer Validierung erfolgen. Dass dies bei der Signaturerstellung erfolgt, ist jedoch selten, da zu der benötigten Zeit zur Signaturerstellung auch noch die für die Prüfung kommt. So bietet sich die Anreicherung zur LTV-Signatur bei der Validierung vor der Archivierung geradezu an. Ab diesem Zeitpunkt wird die Signatur immer offline geprüft und erfolgt ohne Zugriff auf den Verzeichnisdienst. Eine Prüfung wird also von der Erreichbarkeit dieses Dienstes, egal aus welchem Grunde er nicht zur Verfügung steht, unabhängig.

Leistet die LTV-Signatur noch mehr?

Wie die Gültigkeit von Zertifikaten geprüft wird, erfolgt nach unterschiedlichen Modellen (Ketten-, Schalen- oder modifiziertes Schalenmodell). Diese verschiedenen Modelle sind für die unterschiedlichen Verwendungen von Zertifikaten auch durchaus sinnvoll. Die Gültigkeit eines SSL-Zertifikates sollte im Browser anders geprüft werden als ein Zertifikat, welches für die Signatur von Dokumenten verwendet wurde, die über Jahrzehnte hinaus prüfbar sein müssen.

Nehmen wir einmal den Adobe Reader als Beispiel. Adobe Reader wird eine Signatur nach Ablauf des verwendeten Endbenutzerzertifikates nicht mehr als vertrauenswürdig einstufen, auch wenn die Signatur noch während des Gültigkeitszeitraumes erfolgt ist.

Dieses Verhalten kann durch die LTV-Signatur vermieden werden, wenn die LTV-Signatur vor dem Ablaufdatum erfolgt. Mit der rechtzeitigen LTV-Signatur bleibt der Haken des Adobe Reader grün und die Signatur wird weiterhin positiv geprüft – und das dauerhaft. Dies ist ein wichtiger Schritt auf dem Weg zu mehr Akzeptanz der Signatur durch ihre Anwender. 

Wie wird eine LTV-Signatur mit Sign Live! CC erzeugt?

Sign Live! CC validation server

Die Server - Lösung zur Signaturprüfung

Weitere Informationen zu Sign Live! CC validation server

FAQs zum Sign Live! CC server

Im Folgenden erfahren Sie, wie Sie als Funktionstest via jconsole eine Remote-Verbindung zu einer JVM für aufbauen können.
Sicherheitsasopekte bleiben bewusst unberücksichtigt. Für diese und tiefgreifendere Informationen beachten Sie bitte die verlinkten Informationen.

  1. JVM vorbereiten
    Exkurs für Sign Live! CC/ PDFA Live! /Sign Live! cloud suite bridge:

    Für die Verwendung von JMX wird clientseitig (dort, wo das intarsys Produkt betrieben wird) eine vollständige JRE benötigt.
    Die o. g. Produkte werden mit reduzierten JREs ausgeliefert. Daher muss zunächst dafür gesorgt werden, dass das intarsys-Produkt mit einer vollständigen JRE startet.
    Hinweise dazu finden Sie in dieser FAQ SLCC mit „meiner“ JVM starten.

    Konfiguration der JVM für den entfernten Zugriff
    Für den entfernten Zugriff auf die JVM müssen ein Port definiert und der Einfachheit halber Sicherheitsmechanismen abgeschaltet werden.
    Fügen Sie Ihrer Java-Konfiguration folgende Definitionen hinzu (als Port ist jeder belliebige freie Port verwendbar)
    -Dcom.sun.management.jmxremote.port=50999 -Dcom.sun.management.jmxremote.authenticate=false -Dcom.sun.management.jmxremote.ssl=false
    Für z. B. Sign Live! CC legen Sie diese Daten in der Datei C:\Programme\Sign Live CC 7.1.7\bin\SignLiveCC.exe.vmoptions ab und starten die Anwendung neu.
    Ihre JVM ist nun für den entfernten Zugriff via JMX konfiguriert.
  2. Verbindung zur JVM mit jconsole aufbauen
    Starten Sie auf dem Client das Java Werkzeug jconsole.
    Sie finden es in Ihrer Java-Installation (JDK) z. B. im Pfad C:\Program Files\Java\zulu11.48.21-ca-jdk11.0.11-win_x64\bin\jconsole.exe

    Wählen Sie die zu überwachende JVM über die definierten Verbindungsdaten aus:

bestätigen Sie die Warnung

… und Sie erhalten Zugriff auf die JVM. Nach Wechseln auf das Tab MBeans lesen Sie z. B. den aktuellen Lizenzstand aus:

Weitere Hinweise

  1. Die Version des Client JDKs ist unabhängig von der im intarsys Produkt verwendeten.
    Es muss ein JDK sein.
  2. Beim Zugriff von localhost aus, kann auf das Definieren eines Ports und das Abschalten der security verzichtet werden.

Weitere detailliertere Informationen

  1. https://docs.oracle.com/javase/1.5.0/docs/guide/management/index.html
    darin
  2. https://www.oracle.com/technical-resources/articles/javase/jmx.html

Sollen mehrere Windows Dienste von Sign Live! CC parallel betrieben werden, so muss bei der Installation des Dienstes ein Name angegeben werden. Passen Sie dazu die Datei „bin/SignLiveCC_service_install.bat“ an, indem Sie nach der Option „/install“ einen Namen angeben.

Beispiel:

……./install MySLCCService

Der gleiche Name muss in den bat-Dateien zum Starten, Stoppen und Deinstallieren des Windows-Dienstes angegeben werden.

Parameter zur Verwendung im Sign Live! CC Windows Dienst werden mit Hilfe der Datei „bin/SignLiveCC_service.exe.vmoptions“ übergeben.Weitere Hinweise dazu erhalten Sie hier.

So installieren Sie die Software auf einem Linux System:

  1. Laden Sie die Datei mit der Endung „.tar.gz“ herunter.
  2. Falls Sie die Anwendung bereits in einer Vorgängerversion installiert haben oder falls Sie einen Patch installieren:
    • Beenden Sie die Anwendung, sofern diese gestartet ist.
    • Falls Sie die Software als Linux Dienst konfiguriert haben, beenden Sie den Linux Dienst.
  3. Entpacken Sie die heruntergeladene Datei wie folgt, verwenden Sie den Dateinamen der heruntergeladenen Datei plus die Versionsnummer als Name für das Installationsverzeichnis:
    tar -xf signlivecc_*.tar.gz -C /var/signlivecc-7.1.11/
  4. Prüfen Sie Ihre Installation.
  5. Starten Sie die installierte Anwendung.

Hinweis: Entpacken Sie auch ein Update in ein neues Verzeichnis, um zu vermeiden, dass in der Installation Inhalte von unterschiedlichen Versionen vorliegen. Spezifische Anpassungen müssen nach der Installation erneut durchgeführt oder übernommen werden.

Hinweis: Abhängig vom Produkt ist der Dateiname der heruntergeladenen Datei unterschiedlich. Für das Beispiel in Punkt 3 ist wurde das Produkt ‚Sign Live! CC‚ verwendet.

Bleiben Sie auf dem Laufenden mit unserem Newsletter!

Und erhalten Sie alle Informationen rund um:

Produkte

Services

Events

Aktionen

Erste Kunden nutzen digitale Prozessstruktur für ganzheitliche Arbeitsabläufe Hollern, Karlsruhe und Taucha, 07.11.2023 – Die Firmen GekoS mbH aus Hollern in Niedersachsen und die procilon