XW7BDREV10S045760_Registracija_Zapros.xml (30kb) загружен 30 раз(а).


Обновил подпись файла согласно Вашим комментариям. Добавил строку сверху и включаю в расчет хеша тег SenderInformayionSystemSignature. Кроме этого убрал все проблемы в структуре подписи. Файл приложил.
Можно ли узнать на каком этапе проверки подписи возникает ошибка?

Я думаю, проблема в том, что встроенная компонента 1С, которой я пользуюсь некорректно каноникализирует строку XML из-за того что передается неправильный путь xPath.

Я описывал в первом сообщении, что подписываю одну строку xml, а хэш и подпись вставляю в другую. Делал я так только потому, что мне не удалось сформировать путь XPATH, который бы исключал теги подписи при каноникализации строки с данными. В типовом варианте работы этой процедуры используется одна строка xml, содержащая все данные и теги подписи. Встроенная компонента 1С, которая каноникализирует xml работает по принципу черного ящика. Знаю лишь, что используется C14N(). На вход подается строка xml и тег xpath для получения каноникализированного текста.

В итоге я решил доработать типовую процедуру для работы с двумя xml файлами - в одном все данные, кроме тегов подписи(но включая теги SenderInformationSystemSignature), в другой строке те же данные + теги подписи Sygnature. В итоге Хэш все равно неправильный.

Мне кажется, что надо вернуться к типовому виду данной процедуры 1С, но правильно передать на вход путь XPATH для подписываемых данных. К сожалению, такой путь сформировать у меня не получается.

KonvertSOAPItogV1S.txt (29kb) загружен 27 раз(а). KonvertSOAPItogVSEhP.xml (30kb) загружен 21 раз(а). KonvertSOAP.txt (28kb) загружен 39 раз(а). KonvertSOAPKanonikalizacija.txt (37kb) загружен 39 раз(а).
Добрый день!

Я немного переделал программу. Теперь получается следующее:

1. Получаю строку xml с данными и с тегами подписи(см. КонвертSOAP). Я просто скопировал строку, которая получается в программе в текстовый файл и приложил к сообщению.
2. Каноникализация данной строки. У меня получилось составить XPath таким образом, чтобы тег Signature не учитывался. Получилось следующее - см. КонвертSOAPКаноникализация. К сожалению, компонента 1С, которая производит каноникализацию строки выдает ошибку, если в строке XML есть <?xml version="1.0" encoding="UTF-8" standalone="no"?>. Поэтому каноникализирую без этой строки. Затем просто добавляю ее в начало итоговой строки. Запросил у 1С почему так, жду ответ. Пробовал не добавлять, подпись все равно в итоге не верна.
3. После каноникализации рассчитывается хэш и подпись и вставляется в эту же строку xml. Приложил файл КонвертSOAPИтогВ1С - это то, что у меня получается непосредственно в программе, до сохранения в файл xml. И сам итоговый файл xml, который передаю в Систему электронных паспортов.

Перед каноникализацией сохраняю строку в xml файл с форматом UTF-8, затем дополнительно убираю символы с кодом 13 если они есть.

Добрый день!

Вчера у меня получилось подписать пустой файл. При этом я заметил некую странность работы компоненты 1С при каноникализации строки.

Подписываю xml строку следующего формата:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><ds:SignatureMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-256"/><ds:Reference URI=""><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/></ds:Transforms><ds:DigestMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34112012-256"/><ds:DigestValue>%DigestValue%</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue>%SignatureValue%</ds:SignatureValue><ds:KeyInfo><ds:X509Data><ds:X509Certificate>%BinarySecurityToken%</ds:X509Certificate></ds:X509Data></ds:KeyInfo></ds:Signature></soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

Подпись вставляю в тег Header.

Каноникализация в 1С:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header></soapenv:Header>
<soapenv:Body></soapenv:Body>
</soapenv:Envelope>

Данная каноническая форма xml соответствует форме, которую я получаю на другом онлайн ресурсе.
В результате, сервис https://www.justsign.me/verifyqca/Verify/ возвращает сообщение, что подпись математически корректна. При этом в коде 1С я воспользовался объектом ADODB.Stream и убрал метки порядка байтов. Правда позже выяснил, что при сохранении xml строки в файл формата utf-8 в 1с можно передавать параметр, который определяет наличие этих байтов. В общем, с нормализацией строки разобрался.
Кроме того, добавление строки "<?xml version="1.0" encoding="UTF-8" standalone="no"?>" в начало xml файла после подписи, никак не повлияло на конечный результат. Подпись корректна.

Однако.
Если попробовать подписать похожую пустую xml строку:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<soapenv:Header><ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"><ds:SignedInfo><ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/><ds:SignatureMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34102012-gostr34112012-256"/><ds:Reference URI=""><ds:Transforms><ds:Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/></ds:Transforms><ds:DigestMethod Algorithm="urn:ietf:params:xml:ns:cpxmlsec:algorithms:gostr34112012-256"/><ds:DigestValue>%DigestValue%</ds:DigestValue></ds:Reference></ds:SignedInfo><ds:SignatureValue>%SignatureValue%</ds:SignatureValue><ds:KeyInfo><ds:X509Data><ds:X509Certificate>%BinarySecurityToken%</ds:X509Certificate></ds:X509Data></ds:KeyInfo></ds:Signature></soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>

В данной строке добавлено объявление пространства имен xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">

Каноническая форма в 1С:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header></soapenv:Header>
<soapenv:Body></soapenv:Body>
</soapenv:Envelope>

Каноническая форма на стороннем ресурсе:

<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<soapenv:Header></soapenv:Header>
<soapenv:Body></soapenv:Body>
</soapenv:Envelope>

Я заметил, что объявление пространства имен xmlns:xsi в канонической форме остается, а в 1С убирается.
В итоге подпись на ресурсе не проходит. Может быть проблема исключительно в этом? В файлах примерах, что я присылал ранее, пространства имен в канонической форме также убраны, а на стороннем ресурсе они остаются(перепроверил). Я не придал этому значения тогда.
К сожалению, мне пока не удалось на ресурсах 1С найти описание работы процедуры C14N() встроенной компоненты, запросил у тех поддержки описание, но пока ответа нет.
Посмотрел описание процедуры в гугле, но не понял, можно ли передавать какой-либо параметр на вход, чтобы на выходе не убирались пространства имен.

XW7BDREV10S045760_Registracija_Zapros.xml (30kb) загружен 70 раз(а).
Добрый день!

У меня получилось настроить электронную подпись. Прикладываю файл, по которому сервис проверки подписи показал, что подпись корректна. Да и всистеме электронных паспортов не было ошибки по подписи.

Я указал в файле напрямую метод каноникализации(если я правильно все понял, то указан эксклюзивный вариант, по которому работает каноникализация в 1С) + не добавляю байты порядка файлов при сохранении в файл из 1С, и как следствие все работает.

Огромное спасибо за помощь!