Eine praktische und sicherere Lösung für qualifizierte Signaturen

Entrust Remote Signing Server ist eine On-Premises-Lösung für Trust Services Provider zur Bereitstellung eines rechtssicheren Cloud-basierten Signierdienstes, der über eine Web-API einfach zugänglich ist. Die Signierschlüssel werden zentral in einem HSM geschützt, und die Dokumentensignaturen werden von den Anwendern per Fernzugriff von ihrem Gerät aus genehmigt, ohne dass ein Hardware- oder Software-Token erforderlich ist.

Vorteile von Entrust Remote Signing Server

Signiert-Symbol weiß

eIDAS-konforme qualifizierte Signaturen

Entrust Remote Signing Server ist auf die eIDAS-Standards abgestimmt und führt Signiervorgänge auf einem Qualified Signature Creation Device (QSCD) durch.

Standort-Symbol weiß

Weltweit akzeptierte Signierstandards

Die Plattform bietet ein sehr hohes Maß an Vertrauen und Interoperabilität mit den Branchenprodukten, die qualifizierte Signaturen erfordern.

Netzwerk-Symbol weiß

Kein Hardware- oder Software-Token für Benutzer

Der Onboarding- und Signierungsprozess erfordert keine speziellen Kenntnisse und kann von jedem Gerät aus durchgeführt werden.

Funktionsweise

  • Architektur
  • Betrieb
  • Technische Daten
  • Optionale Module

Architektur

Entrust Remote Signing Server bietet Möglichkeiten zur Fernsignierung und 2FA-basierten Signaturaktivierung über Webdienste, die von einem Trust Service Provider betrieben werden. Die folgende Abbildung veranschaulicht die Interaktionen zwischen Entrust Remote Signing Server, dem optionalen Mobile-ID-Modul und Ihrer Infrastruktur. Der Identitätsanbieter ist nicht dargestellt:

 

Diagramm der eIDAS-Architektur

 

 

Betrieb

Entrust Remote Signing Server fungiert als serverbasierter Signaturanbieter und ermöglicht die Authentifizierung von Benutzern, um ihre Schlüssel zu aktivieren und die Signatur von Dokumenten oder Dokumentenhashes zu autorisieren.

Anbieter elektronischer Signaturen (eSigP)

PKI-Materialen für angemeldete Benutzer werden als Identitätsattribute in einem sicheren HSM-basierten Repository verwaltet. Jeder Benutzer kann über ein oder mehrere digitale Zertifikate verfügen, um Dokumente nach der Authentifizierung per Fernzugriff mit einer digitalen Signatur zu versehen.

Die Signierfunktionen sind über eine Web-API oder optional über die Komponente TrustedX Desktop Virtual Card (VC) verfügbar.

Identitätsanbieter (IdP)

Die Plattform ist darauf ausgelegt, einen bestehenden föderierten Identitätsanbieter (Identity Provider) zu nutzen, kann aber auch als IdP für einige Anwendungsfälle fungieren. Wenden Sie sich an uns, um weitere Informationen über unterstützte IdPs von Drittanbietern zu erhalten.

Entrust Remote Signing Server umfasst 2FA-Authentifizierungsmethoden wie SMS/Email OTP und TrustedX Mobile ID.

Weitere Authentifikatoren können dank der Integration mit IntelliTrust oder IdentityGuard von Entrust oder mit bestehenden IdPs über unseren SAML 2.0 Connector eingebunden werden.

Technische Daten

  • Format: Virtuelle Maschinen oder Hardware-Appliance. Für das Signature Activation Module ist eine Hardware-Appliance erforderlich. Kontaktieren Sie uns, wenn Sie weitere Informationen über unterstützte Hardware oder virtuelle Maschinen benötigen.
  • Signature Activation Module (SAM): Entrust Remote Signing Server v4.2 implementiert ein SAM, das der CEN EN 419 241-2 entspricht: Schutzprofil für QSCD zum Signieren von Servern.
  • Authentifizierungsstandards: OASIS SAML 2.0 und OAuth 2.0/OpenID Connect.
  • Native Authentifizierungsmethoden: Passwörter, digitale Zertifikate, SMS/E-Mail OTP, TrustedX Mobile ID.
  • Erweitern von Authentifikatoren: Integration mit IntelliTrust- oder IdentityGuard-Produkten von Entrust oder mit IdP von Drittanbietern unter Verwendung des mitgelieferten SAML 2.0-Konnektors oder eines eigenen Konnektors.
  • Klassifizierung der Authentifizierung: Levels of Assurance (LoA) von eIDAS, Authenticator Assurance Levels (AALs), ITU-T X.1254, ISO/IEC 29115.
  • Standards für elektronische Signaturen: PAdES (ETSI TS 103 172 und ETSI EN 319 142), XAdES (ETSI TS 103 171 und ETSI EN 319 132), CAdES (ETSI TS 103 173 und ETSI EN 319 122), RSA PKCS#1 und Cloud Signature Consortium/ETSI TS 119 432.
  • Externe TSA und OCSPs: TSA- und OCSP-Produkte von Entrust oder mit IETF TSA und IETF OCSP kompatible Server zur Erstellung von LTV-Signaturen mit verlängerter Lebensdauer bis zur TSA Zertifikatsgültigkeit.
  • Externe PKI-Dienste: Die PKI von Entrust oder die PKI eines Drittanbieters unter Verwendung des bereitgestellten Mechanismus der kundenspezifischen Konnektoren.
  • HSM-Unterstützung: nShield Connect+ und nShield Connect XC. Die verfügbaren Funktionen können je nach gewähltem Modell variieren (nShield Connect XC ist für das SAM erforderlich).
  • Ereignisüberwachung: Simple Network Management Protocol (SNMP). Syslog und Rohformat zur Verarbeitung mit einem externen SIEM.
  • Datenbanksysteme: Oracle, Microsoft SQL Server und PostgreSQL. Wenden Sie sich an uns, wenn Sie Unterstützung für andere Datenbanken benötigen.
  • SMS/E-Mail-Gateway: Für OTP-Methoden ist ein SMS-Gateway und/oder SMTP-Server erforderlich.

Optionale Module

Entrust Remote Signing Server-Ressourcen