x509証明書を使用してxmlドキュメントに署名する

Question

署名されたXMLを送信しようとするたびに、Webサービス検証機能がそれを拒否します。

ドキュメントに署名するために、マイクロソフトが提供するこのサンプルコードを適合させました。

http://msdn.Microsoft.com/es-es/library/ms229745（v = vs.110）.aspx

私の実装：

 public static XmlDocument FirmarXML(XmlDocument xmlDoc) { try { X509Certificate2 myCert = null; var store = new X509Store(StoreLocation.CurrentUser); //StoreLocation.LocalMachine fails too store.Open(OpenFlags.ReadOnly); var certificates = store.Certificates; foreach (var certificate in certificates) { if (certificate.Subject.Contains("xxx")) { myCert = certificate; break; } } if (myCert != null) { RSA rsaKey = ((RSA)myCert.PrivateKey); // Sign the XML document. SignXml(xmlDoc, rsaKey); } } catch (Exception e) { MessageBox.Show(e.Message); } return xmlDoc; } // Sign an XML file. // This document cannot be verified unless the verifying // code has the key with which it was signed. public static void SignXml(XmlDocument xmlDoc, RSA Key) { // Check arguments. if (xmlDoc == null) throw new ArgumentException("xmlDoc"); if (Key == null) throw new ArgumentException("Key"); // Create a SignedXml object. SignedXml signedXml = new SignedXml(xmlDoc); // Add the key to the SignedXml document. signedXml.SigningKey = Key; // Create a reference to be signed. Reference reference = new Reference(); reference.Uri = ""; // Add an enveloped transformation to the reference. XmlDsigEnvelopedSignatureTransform env = new XmlDsigEnvelopedSignatureTransform(); reference.AddTransform(env); // Add the reference to the SignedXml object. signedXml.AddReference(reference); // Compute the signature. signedXml.ComputeSignature(); // Get the XML representation of the signature and save // it to an XmlElement object. XmlElement xmlDigitalSignature = signedXml.GetXml(); // Append the element to the XML document. xmlDoc.DocumentElement.AppendChild(xmlDoc.ImportNode(xmlDigitalSignature, true)); }

自分の証明書を使用して同じ手順を実行していると思いますが、期待どおりに機能しません。

どんな提案も歓迎します。

Wiktor Zychla · Accepted Answer

サーバーは、ドキュメントが署名されている証明書をどのようにして知るのですか？署名されたドキュメントに証明書を含めないようです：

 KeyInfo keyInfo = new KeyInfo(); KeyInfoX509Data keyInfoData = new KeyInfoX509Data( Key ); keyInfo.AddClause( keyInfoData ); signedXml.KeyInfo = keyInfo;

詳細が必要な場合は、私のブログエントリを参照してください。

http://www.wiktorzychla.com/2012/12/interoperable-xml-digital-signatures-c_20.html

Michael Knight · Answer

Wiktorのサンプルに従って、すでにいくつかの変更を加えました。ただし、署名はまだWebサービスによって拒否されています。

私が今署名するために使用する方法はこれです：

public static string SignXml(XmlDocument Document, X509Certificate2 cert) { SignedXml signedXml = new SignedXml(Document); signedXml.SigningKey = cert.PrivateKey; // Create a reference to be signed. Reference reference = new Reference(); reference.Uri = ""; // Add an enveloped transformation to the reference. XmlDsigEnvelopedSignatureTransform env = new XmlDsigEnvelopedSignatureTransform(true); reference.AddTransform(env); //canonicalize XmlDsigC14NTransform c14t = new XmlDsigC14NTransform(); reference.AddTransform(c14t); KeyInfo keyInfo = new KeyInfo(); KeyInfoX509Data keyInfoData = new KeyInfoX509Data(cert); KeyInfoName kin = new KeyInfoName(); kin.Value = "Public key of certificate"; RSACryptoServiceProvider rsaprovider = (RSACryptoServiceProvider)cert.PublicKey.Key; RSAKeyValue rkv = new RSAKeyValue(rsaprovider); keyInfo.AddClause(kin); keyInfo.AddClause(rkv); keyInfo.AddClause(keyInfoData); signedXml.KeyInfo = keyInfo; // Add the reference to the SignedXml object. signedXml.AddReference(reference); // Compute the signature. signedXml.ComputeSignature(); // Get the XML representation of the signature and save // it to an XmlElement object. XmlElement xmlDigitalSignature = signedXml.GetXml(); Document.DocumentElement.AppendChild( Document.ImportNode(xmlDigitalSignature, true)); return Document.OuterXml; }

そして、署名はドキュメントで次のように表示されます。

<Signature xmlns="http://www.w3.org/2000/09/xmldsig#"> <SignedInfo> <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" /> <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" /> <Reference URI=""> <Transforms> <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> <Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" /> </Transforms> <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" /> <DigestValue>zRSPtja5EtX7hVbyJ11EjoYTRDk=</DigestValue> </Reference> </SignedInfo> <SignatureValue>Ua1/WP28WzfXaxUj....</SignatureValue> <KeyInfo> <KeyName>Public key of certificate</KeyName> <KeyValue> <RSAKeyValue> <Modulus>0mmCc5Rlibh44o/C/k5....</Modulus> <Exponent>AQAB</Exponent> </RSAKeyValue> </KeyValue> <X509Data> <X509Certificate>MIIF3jCCBUegAwIBAgIEPQa1....</X509Certificate> </X509Data> </KeyInfo> </Signature>

適切なドキュメントがサーバーに送信されると、必要なフィールドを識別するためのパターンとして使用したこの署名が返されます。

<ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:SignedInfo> <ds:CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" /> <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" /> <ds:Reference URI=""> <ds:Transforms> <ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" /> <ds:Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" /> </ds:Transforms> <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" /> <ds:DigestValue>nQOtmW194/aI+hedq+Dqp+n3IuU=</ds:DigestValue> </ds:Reference> </ds:SignedInfo> <ds:SignatureValue>kyp+a6arETylW8ZuucKJyd....</ds:SignatureValue> <ds:KeyInfo> <ds:KeyName>Public key of certificate</ds:KeyName> <ds:KeyValue> <ds:RSAKeyValue> <ds:Modulus>t0Yial28LxcIoPj16PlLIzaV...</ds:Modulus> <ds:Exponent>AQAB</ds:Exponent> </ds:RSAKeyValue> </ds:KeyValue> <ds:X509Data> <ds:X509Certificate>MIIHOTCCBiGgAwIBAgICVJIwDQYJKo....</ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </ds:Signature>

それは私には正しいようです。ただし、まだ機能しません。誰か手がかりはありますか？