Firmar con AutoFirma y fichero PFX
 

1º. OBTENER ALIAS FICHERO PFX
RESULTADO OK
RESULTADO FALSE

2º. FIRMAR XML
NOTA: En el xadesNamespace hay que poner el que especifica el documento de la Orden Ministerial (no me deja enviar el mensaje si lo pongo, pues parece un enlace)

RESULTADO OK
RESULTADO FALSE

Gracias.
En estos casos para evitar la restricción (es cuando lleváis pocos mensajes por temas de seguridad y antispam) se puede modificar el uinicio de la url poniendo h_t_t_p://... (con eso no la identifica como url y os dejaponerla...)

Actualizao el mensaje número #2 con la recopialación de códigos.

He descubierto que no hay que definir el Namespace. El comando quedaría así:

No ll he mirado, pero no tiene \npolicyIdentifier=...?
Es raro que no hayan metido políticas de firma.

Lo el alias lo puedes simplificar, hay un parámetro más fácil y menos dado a errores.
Te lo miro mañana.

Hola, prueba algo así, en vez de alias es mejor esto subject.contains:XXXXXXXX donde XXXXXXXXX es el cif,nif,o nie del certificado, y así no va a fallar.
Pero no sé si falta o sobra algo. De momento no voy a trabajar en las firmas. Pero creo que te faltan las politicas de firma tambien:

Si te funciona mandalo a verifactu el firmado a ver si es aceptado y despues al correo verifactu para que te lo corroboren, aunque es dificl que funcione a la primera, no tengo ahora el autofirma instalado y no he visto resultados.

Sí, he mandado varios XML firmados así a VeriFactu y los ha tomado sin problemas.

Con los parámetros que te he puesto?

No. Lo he probado con los parámetros de mi primer mensaje.

Hola. Usando tu código sugerido, y comparando la salida con el archivo firmado de ejemplo proporcionado por la AEAT, veo que se añade un nodo extra dentro de <xades:SignedProperties> llamado <xades:SignedDataObjectProperties> con el siguiente contenido:
Además, donde dice: debería poner .

También dentro del nodo <ds:SignedInfo> debería hacer mención a sha256, pero está poniendo sha512 en todas.

Dentro de <ds:Reference><ds:Transforms> se añade:
Uso AutoFirma 1.8.3 para Windows. Todavía no he llegado a la parte de enviar. ¿Alguien puede corroborar si este fichero resultante sería igualmente válido y el WebService se lo traga?

Si valido el fichero firmado en la web valide.redsara.es el achivo XML, me da el siguiente error: El hash de la política incluido en la firma no coincide con el hash real de la política de firma.
¿Alguien sabe de dónde se saca el parámetro de configuración policyIdentifierHash?

Para la politica de firmas debes tener esto en el signature:

El algoritmo http://www.w3.org/2000/09/xmldsig#sha1 que sugieres no está soportado por las especificaciones de la firma que exige el reglamento, debe ser http://www.w3.org/2001/04/xmlenc#sha256.

El caso es que mandándole a mano al AutoFirma el DigestValue que aparece en el fichero de ejemplo firmado de la AEAT, me firma el archivo correctamente pero al validarlo en valide.redsara.es me devuelve el siguiente error: "El hash de la política incluido en la firma no coincide con el hash real de la política de firma".

La llamada que realizo es: AutoFirmaCommandLine.exe sign -i "ejemplo.xml" -o "ejemplo_signed.xml" -format xades -config "format=XAdES Enveloped \nincludeOnlySignningCertificate=true \npolicyIdentifier=urn:oid:2.16.724.1.3.1.1.2.1.9 \npolicyIdentifierHash=Dkx2R3nMv8kWo7iSAh+/1SQ70hfseOEaQbpJnURk+pg= \npolicyIdentifierHashAlgorithm=http://www.w3.org/2001/04/xmlenc#sha256 \npolicyQualifier=https://sede.administracion.gob.es/politica_de_firma_anexo_1.pdf" -store pkcs12:"cert.pfx" -password XXXX -filter subject.contains:89890001K

Está todo bien salvo el tema del hash de la política de firma. Otra cosa que intenté fue calcularlo desde archivo PDF: THashSHA2.GetHashStringFromFile('politica_de_firma_anexo_1.pdf'). Pero el error devuelto es el mismo.

¿Alguna idea de cómo solucionarlo?

El hash que te he puesto es el correcto, el otro que pones no es correcto es sha1 y no sha256, ademas con el digestvalue que te indica.

Mira las especificaciones de firma y lo veras.

Te dejo un archivo valido firmado, lo puedes comprobar en la red.sara

Me temo que es al revés compañero. En el archivo ejemplo que mandas estás especificando que el algoritmo a usar para la política de firma es SHA1, y no SHA-256: <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>. Y el DigestValue es G7roucf600+f03r/o0bAOQ6WAs0=, que viene a ser el hash SHA-1 de la política de firma.

Si uso tu propuesta sí me funciona. Pero ¿qué pasa si quiero aplicar el sha-256 como aparece en el ejemplo de archivo firmado proporcionado por la AEAT? ¿Cómo se calcula el sha-256 de la política de firma? Porque si uso el proporcionado en el fichero de ejemplo de la AEAT, al validarlo en valide.redsara.es me da el error de "El hash de la política incluido en la firma no coincide con el hash real de la política de firma".

Compañero, fijate bien que en el ejemplo viene lo que te digo, y no es al reves como tu dices, es sha1

El ejemplo me refiero al de la Aeat no al mio, veras que es sha1

Para hacerlo con SHA256 debes saber el DisgestValue correspondiente, el que pones de 256 no es valido, ya lo comprobe anteriormente cuando salio el documento, pero despues lo cambiaron a SHA1

Aunque yo no utilizo Autofirma para firmar los ficheros.

El codigo correcto para autofrima seria este:

Adjunto captura del PDF donde dicen que el algoritmo de política de firma debe ser SHA-256. Así mismo, pueden descargar el ejemplo de fichero firmado desde aquí: https://www.agenciatributaria.es/sta...rmaRegFact.zip

No veo rastro de SHA-1 en las especificaciones...

En las especificaciones pone eso, pero en la practica es SHA1 ( Supongo que lo corregiran ).
En el fichero de ejemplo fijate bien que viene SHA1, vuelve a descargatelo.
En la anterior descarga venia como ya te he dicho anteriormente SHA256, pero el DigestValue incluido no es correcto.

Por cierto el SHA1 es para la politica de firmas no para el documento que si es SHA256, veo que indicas en el documento los dos y no tiene nada que ver, una cosa es el hash de politica de firma y otra el documento que si tiene que ser minimo SHA256.

Pues tiene usted razón, han cambiado el fichero firmado y ni siquiera avisaron. Les enviaré un mail a ver qué dicen, si nos quedamos en sha-1 o en sha-256.

Para el SHA256 tienen que poner el DigestValue correcto, el que hay como ya te comente no es valido, por eso cuando lo validas te dice que no reconoce la firma.

Cualquier cosa que te comente nos dices, sino les hago yo la pregunta.

Me han dicho que han pasado la pregunta al departamento correspondiente y desde que sepan me responden.

ok, muchas gracias, ya cuentas.

Hola, con que firmas los ficheros??, alguna funcion en Delphi o asi?

Yo utilizo SecureBlackBox.

+1
Nosotros también.

Yo creo que, si sirve, usaré AutoFirma, siendo una aplicación estatal supongo que la mantendrán compatible con los sistemas de la administración. Siempre soy reacio a usar componentes no nativos porque basta que un día actualices a un Delphi más moderno y dejan de funcionar.

Además, tengo una función que me devuelve la salida de un comando de consola sin mostrarla, no necesito abrir una ventana de msdos o terminal para obtener el resultado.

En otros proyectos hay compañeros que han comentado que es lento.
Supongo que si hay poco volumen de firma es suficiente. Pensad si en algún momento necesitáis un volumen grande (facturación automática) o más velocidad en ese paso.
Si no se necesita es una solución válida (y sobre todo gratuita).

Hola, yo voy a empezar a probar este "FirmaXadesNet45", disponible en el portal de PAE https://administracionelectronica.go...=firmaxadesnet, mas estatal que este... ademas incluye ejemplos de facturae, aunque la verdad usare un port del mismo , actualizado hace 9 meses.
Por si a alguien le interesa https://github.com/didac-vallhonesta...master/Library, esta en c# .net , en cuanto tenga la funcion de firma testada y funcionando la pongo.

Los sistemas de Firma Digital son Normas Internacionales, tanto Autofirma como cualquier otro componente o programa se adapta a estas Normas.

Lo bueno de utilizar SecureBlackBox es que puedes manejar todo el stream en memoria, no necesitas utilizar ficheros en disco. Y el codigo es bastante rapido.

La libreria que os digo tambien.

Lo añado al mensaje de resumen (mensaje#2).

En mis pruebas, me tarda 1 segundo y algo en realizar la firma, y 3 segundos si previamente debo calcular el alias del certificado. Supongo que estos tiempos varían cuanto más grandes sean los ficheros a firmar.

Me responden lo siguiente:

ok, muchas gracias razorxxx

Hola, ya se ha publicado...

Hola, la dll, que uso me define estos parametros, no seran buenos verdad.