Где можно почитать как подключить CryptoPro JCP в качестве средства для генерации и проверки подписей по стандарту WS-Security (Security Token).

Можно ли его подключить к rampart'у для Axis2'а или каким-то другим образом?

Для rampart'а есть понятие Crypto Provider - туда по умолчанию вставлен org.apache.ws.security.components.crypto.Merlin, что надо использовать для CryptoPro JCP?

Либо как это можно подключить для других технологий JAX-WS, например...

Отвечу себе сам - может кому-то будет полезно.

Сделал все это вручную, т.е. написал SOAPHandler в технологии JAX-WS, который налету считает подпись необходимой части
SOAP-документа (<Body>), руками формирую SecurityToken со всеми заголовками и сертификатом в качестве самого BinaryToken.
Также руками приходится изменять KeyInfo в XMLSignature, чтобы поставить там ссылку на Token. Затем обратно полученный документ
отдаю в SOAPHandler. Аналогично с проверкой подписи (там проще, т.к. формировать руками ничего не надо - только проверять).

Думаю что есть еще один путь - это исправить WSS4J (т.к. он в исходниках то это возможно) и передавать ему ключ не в виде
байтового массива (CryptoPro JCP не поддерживает метод getEncoded на PrivateKey), а в виде ссылки на класс PrivateKey, а также написать
свой класс на основе CryptoBase (сейчас там Merlin для поддержки других типов store, кроме JKS)... но этот путь длинный и в принципе правильнее
его делать самой компании CryptoPro, т.к. ее специалисты в любом случае лучше знают свой продукт, а также возможно смогут договориться с
Apache, чтобы этот патч был включен в базовый релиз WSS4J.

Проблема актуальная. Не могли бы уважаемые участники выложить исходники своих наработок? У меня есть пример сообщения от участника СМЭВ. Я этот пример скопипастил и пытаюсь Base64 - данные вручную пересчитать. С RSA такой фокус прошел, а с ГОСТом почему-то даже хеш не совпадает. В примере участника, на выходе примера http://www.cryptopro.ru/...pomoshchyu-kriptopro-jcp и у меня - везде разный хэш. При этом канонизация и алгоритм хэша совпадают. Странно. Ниже привожу кусок кода. GOST_R34.11-94 и CryptoPro2(gostr34102001-gostr3411) из нашего самописного провайдера, мы это давно используем. Подскажите плз, почему хэш не совпадает? И кстати такой вопрос - как вообще этим СМЭВом пользуются? Какой продукт работает из коробки? Похоже что на яве СМЭВ никто не делает почти... Хочу что-нибудь такое поднять, чтобы подписывало-проверяло для проверки своих разработок.

Document doc = XMLUtils.newDocument(new InputSource(new StringReader(sourceXml)));
Canonicalizer canon = Canonicalizer.getInstance("http://www.w3.org/2001/10/xml-exc-c14n#");
byte canonXmlBytes[] = canon.canonicalizeSubtree(XPathAPI.selectSingleNode(doc , "//S:Body"));

log.info("canon body before = "+new String(canonXmlBytes)+";");

MessageDigest dig = MessageDigest.getInstance("GOST_R34.11-94");
byte[] digestBytes = dig.digest(canonXmlBytes);
String digestB64 = Base64.encode(digestBytes);
Element digestElement = (Element)XPathAPI.selectSingleNode(doc , "//ds:DigestValue");
digestElement.setTextContent(digestB64);

log.info("digestB64 = "+digestB64+";");

canonXmlBytes = canon.canonicalizeSubtree(XPathAPI.selectSingleNode(doc , "//*[local-name(.) = 'SignedInfo']"));

log.info("canon signInfo = "+new String(canonXmlBytes)+";");

CryptoProPrivateKey key = new CryptoProPrivateKey("cont25122009_14");
Signature sign = Signature.getInstance("CryptoPro2");
sign.initSign(key);
sign.update(canonXmlBytes);
byte[] signBytes = sign.sign();
String signB64 = Base64.encode(signBytes);
Element signElement = (Element)XPathAPI.selectSingleNode(doc , "//ds:SignatureValue");
signElement.setTextContent(signB64);

Я так понимаю, что CryptoProXMLDSigRI.jar изготовлен из исходников, входящих в состав openjdk. Очень похоже... :)
А там GNU General Public License version 2.
Можно посмотреть на исходники CryptoProXMLDSigRI.jar?