Как правильно канонизировать xml для проверки ЭЦП?

Рейтинг: 1Ответов: 1Опубликовано: 29.04.2015

Подписываю

String xml="...." //soap сообщение
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setNamespaceAware(true);
DocumentBuilder documentBuilder = dbf.newDocumentBuilder();
Document doc = documentBuilder.parse(new ByteArrayInputStream(xml.getBytes("UTF-8")));
WSSConfig.init();
Crypto crypto = CryptoFactory.getInstance("server.properties");
WSSecSignature builder = new WSSecSignature();
builder.setUserInfo("alias1", "123456");
builder.setKeyIdentifierType(WSConstants.ISSUER_SERIAL);
builder.setSignatureAlgorithm(signatureDigestAlgorithm);
builder.setDigestAlgo(signatureAlgorithm);
WSSecHeader secHeader = new WSSecHeader();
secHeader.insertSecurityHeader(doc);
Document signedDoc = builder.build(doc, crypto, secHeader);

Проверяю

System.out.println(secEngine.processSecurityHeader(signedDoc, null, null, crypto));
  • выдает true, а если конвертнуть в String а потом опять в Document - то получаю: The signature or decryption was invalid

Есть подозрение что либо я конвертирую не правильно и что-то теряется, либо надо канонизировать перед проверкой. Но как?

java xml soap
Источник: Stack Overflow на русском

Ответы

▲ 2

Обычно при подписании XML электронной подписью канонизацию выполняют перед подписанием, чтобы обеспечить однозначность документа (сериализация и десериализация может влиять на форматирование в разных парсерах: положение пространств имен, символы конца строк, отступы и т.д.). При этом следует помнить, что есть несколько типов канонизации. В общем случае получить каноническую форму документа можно, например, с использованием xmlsec:

DocumentBuilderFactory docBuilderFactory = DocumentBuilderFactory.newInstance()
// Тут можно указать свойства фабрики, например:
//docBuilderFactory.setNamespaceAware(true);
docBuilder = docBuilderFactory.newDocumentBuilder();
Document doc; //Тут исходный документ 
org.apache.xml.security.Init.init();
byte[] c14nOutputbytes = Canonicalizer.getInstance(
      Canonicalizer.ALGO_ID_C14N_EXCL_WITH_COMMENTS)
            .canonicalizeSubtree(doc.getDocumentElement());
// Каноническая форма документа
Document canon = docBuilder.parse(new ByteArrayInputStream(c14nOutputbytes));

Тип канонизации задается при получении Canonicalizer, в данном примере ALGO_ID_C14N_EXCL_WITH_COMMENTS соответствует http://www.w3.org/TR/xml-exc-c14n/ с сохранением комментариев в документе.