xmlseclibs не может подписать нужный мне узел
Я подписывал xml, связанный с работой, почти год, и сегодня я заметил, что делаю это неправильно (прошу прощения за мой плохой английский, это не мой основной язык)
Я использую библиотеку xmlseclibs для php, и я хочу, чтобы подписи были такими:
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod
Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
<SignatureMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="#XXXXX">
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>... </DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>... </SignatureValue>
<KeyInfo>
<KeyValue>
</KeyValue>
<X509Data>
<X509Certificate>... </X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
Следующий пример должен помочь мне продемонстрировать, что я хочу сделать.
У нас есть следующий XML-файл:
<node1>
<node2>
somedata
</node2>
</node1>
И после того, как я подпишу это, выглядит так:
<node1>
<node2>
somedata
</node2>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod
Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
<SignatureMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="#XXXXX">
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>... </DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>... </SignatureValue>
<KeyInfo>
<KeyValue>
</KeyValue>
<X509Data>
<X509Certificate>... </X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
</node1>
Теперь, это структура, которая мне нужна, однако, когда я делаю это, знак применяется над все документ (узел1 и узел2), но я хочу подписать только узел2 (это ошибка, которую я получаю, я заметил ее благодаря DigestValue).
Но когда я это делаю, я получаю следующее:
<node1>
<node2>
somedata
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod
Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
<SignatureMethod
Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="#XXXXX">
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
<DigestValue>... </DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>... </SignatureValue>
<KeyInfo>
<KeyValue>
</KeyValue>
<X509Data>
<X509Certificate>... </X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
</node2>
</node1>
Я пытаюсь в течение нескольких дней, но я не могу поместить подпись, где я хочу, чтобы она была (только под тегом, который был подписан, а не внутри).
Какие-нибудь мысли?
Функция, которую я использую, выглядит примерно так:
function firmarEnvio2($xmlr){
$doc = new DOMDocument();
$xml = file_get_contents($xmlr);
$doc->loadXML($xml);
$doc->preserveWhiteSpace = true;
$doc->encoding = 'ISO-8859-1';
$objDSig = new XMLSecurityDSig(FALSE);
$objDSig->setCanonicalMethod(XMLSecurityDSig::C14N);
echo "<pre>";
$options['prefix'] = '';
$options['prefix_ns'] = '';
$options['force_uri'] = TRUE;
$options['id_name'] = 'ID';
$objDSig->addReference($doc, XMLSecurityDSig::SHA1, array(XMLSecurityDSig::TR_ENV_SIG), $options);
/*
$objDSig->addReference($doc->documentElement, XMLSecurityDSig::SHA1,
array(
'http://www.w3.org/2000/09/xmldsig#enveloped-signature',
'http://www.w3.org/2001/10/xml-exc-c14n#'
),
array('id_name' => 'Id', 'overwrite' => false));*/
$objKey = new XMLSecurityKey(XMLSecurityKey::RSA_SHA1, array('type'=>'private'));
$pass = "some string";
$pfx = file_get_contents("someroute/certificate.pfx");
openssl_pkcs12_read($pfx, $key, $pass);
$objKey->loadKey($key["pkey"]);
$objDSig->add509Cert($key["cert"]);
$tag="x";
//the following is to compare the digest that i want with the one i always got
echo "<br><br>Digest1<br>";
print_r (base64_encode(sha1($doc->documentElement->C14N(), true)));
echo "<br><br>Digest2<br>";
print_r (base64_encode(sha1($doc->documentElement->getElementsByTagName($tag)->item(0)->C14N(), true)));
print_r ($firma);
$objDSig->sign($objKey, $doc->documentElement);//print_r($doc);
$doc->save('test_s.xml');
return true;
}
Кто-нибудь знает, как это сделать?
Решение
У меня недавно была такая же проблема с библиотекой xmlseclibs.
Вот что сработало для меня:
function signXML($xml) {
$doc = new \DOMDocument('1.0','UTF-8');
$doc->loadXML($xml);
$objDSig = new XMLSecurityDSig('');
$objDSig->setCanonicalMethod(XMLSecurityDSig::EXC_C14N);
$node = $objDSig->addObject($doc->documentElement);
$objDSig->addReference(
$node,
XMLSecurityDSig::SHA1
);
$objKey = new XMLSecurityKey(XMLSecurityKey::RSA_SHA1, array('type'=>'private'));
$privkey = $this->serverroot.'/certs/dev.key';
$objKey->loadKey($privkey, TRUE);
$objDSig->sign($objKey);
$pubkey = $this->serverroot.'/certs/dev-pub.cer';
$objDSig->add509Cert(file_get_contents($pubkey));
$node->ownerDocument->encoding = "UTF-8";
$node->ownerDocument->save(dirname(__FILE__).'/test.xml');
return $node->ownerDocument->saveXML();
}
Надеюсь, что это может помочь.
Другие решения
Других решений пока нет …