signieren eines xml-Dokuments mit x509-Zertifikat

Jedes mal, wenn ich versuche, das senden einer signierten XML, die web service verifier lehnt Sie ab.

Unterzeichnen das Dokument, das ich einfach nur angepasst dieser Beispielcode von Microsoft zur Verfügung:

http://msdn.microsoft.com/es-es/library/ms229745(v=vs. 110).aspx

Meine Umsetzung:

    public static XmlDocument FirmarXML(XmlDocument xmlDoc)
    {
        try
        {
            X509Certificate2 myCert = null;
            var store = new X509Store(StoreLocation.CurrentUser); //StoreLocation.LocalMachine fails too
            store.Open(OpenFlags.ReadOnly);
            var certificates = store.Certificates;
            foreach (var certificate in certificates)
            {
                if (certificate.Subject.Contains("xxx"))
                {
                    myCert = certificate;
                    break;
                }
            }

            if (myCert != null)
            {
                RSA rsaKey = ((RSA)myCert.PrivateKey);

                //Sign the XML document. 
                SignXml(xmlDoc, rsaKey);                    
            }

        }
        catch (Exception e)
        {
            MessageBox.Show(e.Message);
        }
        return xmlDoc;
    }


    //Sign an XML file. 
    //This document cannot be verified unless the verifying 
    //code has the key with which it was signed.
    public static void SignXml(XmlDocument xmlDoc, RSA Key)
    {
        //Check arguments.
        if (xmlDoc == null)
            throw new ArgumentException("xmlDoc");
        if (Key == null)
            throw new ArgumentException("Key");

        //Create a SignedXml object.
        SignedXml signedXml = new SignedXml(xmlDoc);

        //Add the key to the SignedXml document.
        signedXml.SigningKey = Key;

        //Create a reference to be signed.
        Reference reference = new Reference();
        reference.Uri = "";

        //Add an enveloped transformation to the reference.
        XmlDsigEnvelopedSignatureTransform env = new XmlDsigEnvelopedSignatureTransform();
        reference.AddTransform(env);

        //Add the reference to the SignedXml object.
        signedXml.AddReference(reference);

        //Compute the signature.
        signedXml.ComputeSignature();

        //Get the XML representation of the signature and save
        //it to an XmlElement object.
        XmlElement xmlDigitalSignature = signedXml.GetXml();

        //Append the element to the XML document.
        xmlDoc.DocumentElement.AppendChild(xmlDoc.ImportNode(xmlDigitalSignature, true));

    }

Ich glaube, ich bin die gleichen Schritte mit meinem eigenen Zertifikat, aber es funktioniert nicht wie erwartet.

Jede Anregung willkommen sein wird.

InformationsquelleAutor Michael Knight | 2014-04-30
  1. 11

    Wie funktioniert der server wissen, welche Zertifikate das Dokument ist unterzeichnet mit? Sie scheinen nicht zu zählen die cert in das signierte Dokument:

        KeyInfo keyInfo = new KeyInfo();
    KeyInfoX509Data keyInfoData = new KeyInfoX509Data( Key );
    keyInfo.AddClause( keyInfoData );
    signedXml.KeyInfo = keyInfo;

    Wenn Sie mehr details finden Sie in meinem blog-Eintrag

    http://www.wiktorzychla.com/2012/12/interoperable-xml-digital-signatures-c_20.html

    • Hallo Wiktor, dein blog war sehr interessant und ich habe die Beispiele, die Sie zeigen, zu testen. Leider habe ich immer noch mit dem gleichen Problem, wird die Signatur abgelehnt. Ich werde nach mehr Informationen weiter unten.
    • Nur ein Frage, funktioniert dieser Weg nicht offen, private Schlüssel in der payload oder hat die privaten Schlüssel verschlüsselt zu bekommen irgendwie in die payload?
    • es gibt keinen privaten Schlüssel enthalten, auf diese Weise wird nur der öffentliche Schlüssel (Zertifikat).
    InformationsquelleAutor Wiktor Zychla
  2. 3

    Ich bereits einige änderungen vorgenommen folgenden der Wiktor ' s Proben. Jedoch die Unterschrift noch abgelehnt, durch die web-service.

    Die Methode, die ich verwenden, um melden Sie jetzt ist:

    public static string SignXml(XmlDocument Document, X509Certificate2 cert)
{
    SignedXml signedXml = new SignedXml(Document);
    signedXml.SigningKey = cert.PrivateKey;

    //Create a reference to be signed.
    Reference reference = new Reference();
    reference.Uri = "";

    //Add an enveloped transformation to the reference.            
    XmlDsigEnvelopedSignatureTransform env =
       new XmlDsigEnvelopedSignatureTransform(true);
    reference.AddTransform(env);

    //canonicalize
    XmlDsigC14NTransform c14t = new XmlDsigC14NTransform();
    reference.AddTransform(c14t);

    KeyInfo keyInfo = new KeyInfo();
    KeyInfoX509Data keyInfoData = new KeyInfoX509Data(cert);
    KeyInfoName kin = new KeyInfoName();
    kin.Value = "Public key of certificate";
    RSACryptoServiceProvider rsaprovider = (RSACryptoServiceProvider)cert.PublicKey.Key;
    RSAKeyValue rkv = new RSAKeyValue(rsaprovider);
    keyInfo.AddClause(kin);
    keyInfo.AddClause(rkv);
    keyInfo.AddClause(keyInfoData);
    signedXml.KeyInfo = keyInfo;

    //Add the reference to the SignedXml object.
    signedXml.AddReference(reference);

    //Compute the signature.
    signedXml.ComputeSignature();

    //Get the XML representation of the signature and save 
    //it to an XmlElement object.
    XmlElement xmlDigitalSignature = signedXml.GetXml();

    Document.DocumentElement.AppendChild(
        Document.ImportNode(xmlDigitalSignature, true));

    return Document.OuterXml;
}

    Und die Signatur wird, wie dies in dem Dokument:

    <Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
    <SignedInfo>
        <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
        <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <Reference URI="">
            <Transforms>
                <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                <Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
            </Transforms>
            <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
            <DigestValue>zRSPtja5EtX7hVbyJ11EjoYTRDk=</DigestValue>
        </Reference>
    </SignedInfo>
    <SignatureValue>Ua1/WP28WzfXaxUj....</SignatureValue>
    <KeyInfo>
        <KeyName>Public key of certificate</KeyName>
        <KeyValue>
            <RSAKeyValue>
                <Modulus>0mmCc5Rlibh44o/C/k5....</Modulus>
                <Exponent>AQAB</Exponent>
            </RSAKeyValue>
        </KeyValue>
        <X509Data>
            <X509Certificate>MIIF3jCCBUegAwIBAgIEPQa1....</X509Certificate>
        </X509Data>
    </KeyInfo>
</Signature>

    Wenn eine richtige Dokument an den server gesendet, dieser gibt diese Signatur, die ich verwendet, als ein Muster zu identifizieren, die die notwendigen Felder aus:

    <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#">
    <ds:SignedInfo>
        <ds:CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
        <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
        <ds:Reference URI="">
            <ds:Transforms>
                <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
                <ds:Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
            </ds:Transforms>
            <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
            <ds:DigestValue>nQOtmW194/aI+hedq+Dqp+n3IuU=</ds:DigestValue>
        </ds:Reference>
    </ds:SignedInfo>
    <ds:SignatureValue>kyp+a6arETylW8ZuucKJyd....</ds:SignatureValue>
    <ds:KeyInfo>
        <ds:KeyName>Public key of certificate</ds:KeyName>
        <ds:KeyValue>
            <ds:RSAKeyValue>
                <ds:Modulus>t0Yial28LxcIoPj16PlLIzaV...</ds:Modulus>
                <ds:Exponent>AQAB</ds:Exponent>
            </ds:RSAKeyValue>
        </ds:KeyValue>
        <ds:X509Data>
            <ds:X509Certificate>MIIHOTCCBiGgAwIBAgICVJIwDQYJKo....</ds:X509Certificate>
        </ds:X509Data>
    </ds:KeyInfo>
</ds:Signature>

    Scheint es mir Recht. Allerdings noch nicht arbeiten. Einer hat keine Ahnung?

    • Es gibt zwei mögliche Täter. Ersten wäre das eigentliche Zertifikat, aus irgendeinem Grund, könnte es abgelehnt werden. Zweite wäre die Art und Weise, die Sie senden Sie das XML, es könnte möglicherweise geändert werden, auf dem Weg zum server (Formatierung, Abstände, was auch immer). Wenn ich du wäre würde ich einfach Kontakt mit dem server-Anbieter und Fragen Sie, was falsch ist.
    • Ich erkannte, es ist meine Schuld. Ich habe nicht realisiert, bevor Sie Ihre Methode zum überprüfen der Signatur. Jetzt habe ich es und bekomme ich immer "false". Dann, der Fehler ist auf meiner Seite. Ich finde mich ziemlich verwirrt, da ich die Schritte auf Ihrem blog und fügte auch ein paar mehr zu erfüllen mit dem gleichen format wie der server zurückgibt, wenn das Dokument angenommen wird. Dies ist meine signierte Datei: tinyurl.com/lb5o6m9 Wie kann ich tun, um die falschen Wert? Vielen Dank im Voraus.
    • können Sie mir per E-Mail mit den details Ihrer Implementierung? Ich sehe die web-service-als der Schuldige, aber ich brauche sowohl server-als auch client-code, um zu versuchen, Ihnen zu helfen. Ich habe auch senden Sie die unterschriebenen Dokumente über http und ich habe keine Probleme.
    • Sicher, nur sagen Sie mir Ihre E-Mail-Adresse und ich werde senden Sie das Test-Projekt.
    • Google meine Uni-Seite meine E-Mail ist öffentlich zugänglich.
    • aus irgendeinem Grund, Ihre E-Mail-server lehnt meine E-mail.Der Grund ist, das Quellcode enthält, in der rar-Datei. Ich werde das Projekt mit einem link zu googledocs.
    • Hi, genial Beispiel genau das, was ich brauchte. Wie hast du das hinzufügen der "ds:" namespace-Präfix der Signatur-Knoten und Unterknoten? UBL Sache Anforderung...
    • es wird automatisch Hinzugefügt, wenn Sie Signaturen verwenden-api.
    • Hmm.. In meinem Fall ist es nicht automatisch, indem die "ds" - Präfix. Ich versucht, indem die ds-namespace zu meinem root-XmlDocument und dann manuell Durchlaufen die Knoten und die Einstellung des Präfix = "ds", aber fügt hinzu, dass extra xmlns-Attribute, und scheint wie ein hack. Wenn Sie wissen, einen besseren Weg, wäre dankbar!
    • Ich bin kein super-Experte, aber das Präfix ist nicht ein muss. Ich meine, in meinem signierten Dokumenten ist es nicht vorhanden und alles funktioniert einwandfrei. Was ich hier gepostet mit den Präfixen ist die Antwort des Servers. Aber ich bestehe darauf, wenn Sie die Vorherige snippet, keine Präfix geschrieben. Ich denke nicht wirklich, dass Sie haben, um besorgt zu sein über diese.

    InformationsquelleAutor Michael Knight
Schreibe einen Kommentar