签署文件的替代方案答案

【问题标题】：Alternative for signing a document签署文件的替代方案
【发布时间】：2021-12-29 16:32:14
【问题描述】：

免责声明：这不是“向我推荐产品或服务”的问题。

我有兴趣从服务器端了解可用于签署 JSON 文档的技术。有哪些可用的技术？尤其是许多组织签署的。

我不是在寻找特定的商业签名服务也不是区块链，而是寻找一种允许许多组织签署文件的技术。

使用 SSL 证书进行签名听起来是一个可行的想法，但由于证书有到期日，它们可能会带来挑战。

此外，服务不仅应根据签名者的请求进行签名，还应再次签名以验证文档的真实性或即时返回其公钥。

【问题讨论】：

您看过 JOSE 标准吗？ tools.ietf.org/id/draft-erdtman-jose-cleartext-jws-00.html
是的，看过 JOSE 和规范序列化，但它没有说明密钥管理和签名者基础设施。

标签： json hash certificate digital-signature

【解决方案1】：

使用 SSL 证书进行签名听起来是一个可行的想法，但由于证书有到期日，它们可能会带来挑战。

您可以使用CMS Signature，它可以存储用户证书或完整的信任证书链。

我不是在寻找特定的商业签名服务或区块链，而是寻找一种允许许多组织签署文件的技术。

您可以使用 HSM（带有 CSP 或 PKCS#11）或带有密钥管理互操作性协议 (KMIP) 的商业密钥存储硬件，具体取决于您的组织的规模和需求

【讨论】：

感谢@Bharat，这是一个很好的起点。硬件不是一种选择，因为我无法强制数十个组织使用它。 CMS 听起来像是来自消息 POV 的可靠标准，但管理密钥和签署消息的实体是什么？有什么标准吗？
如果您正在寻找从 Web 应用程序签名，用户在其设备证书存储或智能卡/USB 令牌上拥有其私钥，请参阅 stackoverflow.com/a/63173083/9659885 一些组织设置私有 CA 并向其用户颁发证书（可以在 Intranet 上使用（仅限内部使用））请参阅我们的商业产品 stackoverflow.com/a/68556286/9659885（如果有帮助，请接受答案..！）
正如我所提到的，基于设备的签名对我们来说不是一个好的选择。我正在寻找可以由多个组织以较少基础设施配置的东西。这就是为什么我在考虑基于 SSL 或由 CA 生成（并由组织签名）的其他证书的东西，以便消费者可以验证公钥的真实性。
Jaime，'设备证书存储'，我的意思是证书存储在存储在用户笔记本电脑或台式机中的证书中......我不是在谈论任何单独的设备......
即使在这种情况下，也不能依赖个人的笔记本电脑或台式机来处理以下情况：有一个文档，比如说一个 JSON，多个用户（属于组织）可以附加数据并签名。如何验证所有签名都是合法的？我可能会针对每个组织的 CA 或全球 CA 进行验证。仍在努力寻找“最标准”的方式来实现这一目标。