組織の証明書を使用して従業員のデジタル証明書を生成する
私はペルーに住んでおり、私が働いている組織には小さな問題があります。何十ものドキュメントが毎日物理的に署名されていますが、複数の人が署名しなければならないドキュメントがあり、これらの人々は地理的に異なる場所にいるため、これは時間の無駄です。
デジタル証明書を使用してPDFに署名することを考えていますが、これにより別の問題が発生します。証明書は、署名する従業員ではなく、組織の名前で発行されます。各従業員の法的有効性のある証明書の生成を購入(および処理)するには、時間とお金がかかるので、私の質問は次のとおりです。
機関証明書をルート証明書として使用して、従業員ごとに(法的に有効な)新しい証明書を生成することはできますか?
いいえ、購入した署名証明書を使用して他の証明書に署名することはできません。それは許可されていません。でも、試すことはできますが、署名は信頼できません。他の証明書に署名する機能は、Basic ConstratinsおよびKey Usage証明書拡張機能と、証明書内のこれらの拡張機能の値が基準を満たしていません。基本的な制約の実際の詳細については、私のブログ投稿 基本的な制約証明書の拡張 を確認してください。
証明書を使用して他の証明書に署名することについて:@ Crypt32の答えは、証明書の構造/内容に関して正しいです。
「法的有効性あり」について:private PKIを使用する場合、これは組織外の他のユーザーには認識されません。つまり、他の人には法的に有効ではありません。組織外の誰かがPDF=で署名をクリックすると、証明書が信頼されていないというメッセージが表示されます(おそらく、組織のルート証明書が信頼できるものとして追加されていないためです)。
従業員用の署名証明書の購入を検討することをお勧めします。証明書の購入には数分かかります。 処理の意味がわかりません。多くの企業では、次のようになります。管理者は、従業員の証明書を注文/支払い、メールを含む従業員のデータを指定します。数分以内(CAによっては数時間以内の場合もある)に、従業員はCAから、数分以内に証明書の生成を完了することができるリンクが記載された電子メールを受信します。そして、それだけです。あなたの従業員は、デフォルトでほとんどのシステムとブラウザで信頼されている、認識されたCAによる証明書の問題を抱えています。
数百人または数千人の従業員がいる場合、はい、しばらく時間がかかります。しかし、それは年に一度だけ行われます。どこにインフラストラクチャをセットアップするかcanには時間がかかります。また、バックアップ、セキュリティパッチ、定期的なアクセス許可の監査など、それを維持するための永続的な取り組みが必要になります。
お金について:各組織には、高価なものについて独自の意味があります。しかし、約10米ドルの費用で1年間の証明書(文書署名用)を提供するCAは多数あります。ここでは宣伝しませんが、グーグルで簡単に見つけることができます。