Parece que quieres rodar tu propia infraestructura de firmas. Como @Chenmunka señala, esto es casi siempre una mala idea .
Algunas preguntas siguen pendientes.
- Desea almacenar las claves privadas en LDAP pero las firmas en una base de datos. ¿Por qué no almacenar las claves en la base de datos? Si un usuario obtiene más acceso del que debería a la base de datos, simplemente puede reemplazar las firmas, por lo que tener las claves no es menos seguro.
- ¿Cómo se distribuyen y verifican las claves públicas?
- ¿Cómo obliga a sus usuarios a firmar documentos y verificar las firmas?
Sin establecer su uso completo, no puedo saberlo con certeza, pero parece que tampoco hay necesidad de este sistema. ¿Qué establece? Se siente como si fuera pesado y un dolor para los usuarios, lo que significa que encontrarán formas de evitarlo.
Si solo quiere poder probar quién editó un documento, hay herramientas integradas en Windows. Consulte acceso al objeto de auditoría .
Alternativamente, si desea que los usuarios puedan comprobar fácilmente quién es el autor de un documento, hay soporte para este integrado en muchos formatos de documentos comunes. Estos integran los certificados en los documentos y permiten la verificación a través de cadenas de certificados dentro del editor, es decir, solo necesita agregar el certificado raíz a las máquinas de los usuarios, lo que se puede realizar a través de la política de grupo. Todos los formatos de oficina y PDF admiten la firma de editor basada en certificado. Puede crear su propia autoridad de certificado raíz y emitir una clave para cada usuario (o idealmente generarla Solicitudes de firma de certificado: de esa manera la organización no tiene que mantener la clave privada de los usuarios y los administradores no pueden falsificar firmas fácilmente.