Hello,<br><br>Ken was right. I fixed the problem adding transform nodes. But this is not a XAdES signature yet. I'm workint on it.<br><br>I'm attaching the resulting xml. I can sign and verify it using xmlsec.<br><br>
Alfredo<br><div class="gmail_extra"><br><br><div class="gmail_quote">2012/11/4 Alfredo Esteban <span dir="ltr"><<a href="mailto:aedelatorre@gmail.com" target="_blank">aedelatorre@gmail.com</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Hello Ken,<br>
<br>
Thanks a lot for your help. I will study the UBL example, modify mine<br>
and write here the results.<br>
<br>
Alfredo<br>
<br>
2012/11/3 G. Ken Holman <<a href="mailto:gkholman@cranesoftwrights.com">gkholman@cranesoftwrights.com</a>>:<br>
<div class="HOEnZb"><div class="h5">> At 2012-11-03 15:07 +0100, Alfredo Esteban wrote:<br>
>><br>
>> Hello,<br>
>><br>
>> I was verifying whether xmlsec supports XAdES signature (Does it?). As<br>
>> you probably know, XAdES is an European extension of XMLsign.<br>
>><br>
>> I'm able to sign the attached XAdES template without errors but<br>
>> xmlsec1 is not able to verify its own resulting signature:<br>
>><br>
>> > xmlsec1 --version<br>
>> xmlsec1 1.2.18 (openssl)<br>
>><br>
>> > xmlsec1 sign --pkcs12 ../../certificado-ceres-alfredo-esteban.p12<br>
>> > --output hola.xsig --pwd xxxxxxxxxxxxx ejemplo-xades-enveloped.xml<br>
>><br>
>> > xmlsec1 verify --trusted-der aet-cert.der ejemplo-xades-enveloped.xsig<br>
>> > func=xmlSecOpenSSLEvpDigestVerify:file=digests.c:line=229:obj=sha1:subj=unknown:error=12:invalid<br>
>> > data:data and digest do not match<br>
>> FAIL<br>
>> SignedInfo References (ok/all): 1/2<br>
>> Manifests References (ok/all): 0/0<br>
>> Error: failed to verify file "ejemplo-xades-enveloped.xsig"<br>
>><br>
>> Is it a bug? Any help is welcome.<br>
><br>
><br>
> I think not.  I think it is an issue with your signature.<br>
><br>
> I designed the XML scaffolding for OASIS UBL documents and I'm told there<br>
> are a number of users of XAdES in Europe who are signing UBL documents using<br>
> it.  An example is found here, and you can see a couple of XAdES fields<br>
> under the ds:Object element:<br>
><br>
><br>
> <a href="http://docs.oasis-open.org/ubl/prd2-UBL-2.1/xml/UBL-Invoice-2.0-Enveloped.xml" target="_blank">http://docs.oasis-open.org/ubl/prd2-UBL-2.1/xml/UBL-Invoice-2.0-Enveloped.xml</a><br>
><br>
> I used xmlsec to sign and validate this document.  The environment that I<br>
> publish to sign and to validate UBL documents can be found here:<br>
><br>
>  <a href="http://www.CraneSoftwrights.com/resources/ubl/#digsig" target="_blank">http://www.CraneSoftwrights.com/resources/ubl/#digsig</a><br>
><br>
> Looking at the example UBL Invoice cited above, comparing it to the document<br>
> you attached to your post, I note that the UBL document has a <ds:Transform><br>
> element that tells the processor to ignore everything under<br>
> <sig:UBLDocumentSignatures> when calculating the signature.  Thus, when the<br>
> signature information is added by the signing process under the<br>
> <sig:UBLDocumentSignatures> element, that added information does not change<br>
> what is calculated to determine the signature information at validation<br>
> time.<br>
><br>
> If I've interpreted your situation correctly, the process that is<br>
> calculating the signature for your XML is signing the entire document, and<br>
> then you go and change what is signed by adding the signature information to<br>
> the document without protecting it.  When the signature validation process<br>
> acts on your document, it now contains the signature information which gets<br>
> incorporated in the calculations and will never be correct.<br>
><br>
> If, however, you included a <ds:Transform> element in your document in order<br>
> to protect the signing process from incorporating the added signature, then<br>
> the validation process will ignore the added signature and come to the same<br>
> calculations as the signing process.<br>
><br>
> At least that is what I think is going on.<br>
><br>
> I hope this helps.<br>
><br>
> . . . . . . . . . Ken<br>
><br>
><br>
> --<br>
> Contact us for world-wide XML consulting and instructor-led training<br>
> Free 5-hour lecture: <a href="http://www.CraneSoftwrights.com/links/udemy.htm" target="_blank">http://www.CraneSoftwrights.com/links/udemy.htm</a><br>
> Crane Softwrights Ltd.            <a href="http://www.CraneSoftwrights.com/z/" target="_blank">http://www.CraneSoftwrights.com/z/</a><br>
> G. Ken Holman                   mailto:<a href="mailto:gkholman@CraneSoftwrights.com">gkholman@CraneSoftwrights.com</a><br>
> Google+ profile: <a href="https://plus.google.com/116832879756988317389/about" target="_blank">https://plus.google.com/116832879756988317389/about</a><br>
> Legal business disclaimers:    <a href="http://www.CraneSoftwrights.com/legal" target="_blank">http://www.CraneSoftwrights.com/legal</a><br>
><br>
> _______________________________________________<br>
> xmlsec mailing list<br>
> <a href="mailto:xmlsec@aleksey.com">xmlsec@aleksey.com</a><br>
> <a href="http://www.aleksey.com/mailman/listinfo/xmlsec" target="_blank">http://www.aleksey.com/mailman/listinfo/xmlsec</a><br>
</div></div></blockquote></div><br></div>