assinaturas de arquivos xml da NFe

JavaTeenager Membro desde: 26/11/2007 18:34:06 Mensagens: 184 Offline

Apos o processo de assinatura, uso as linhas de cmd abaixo para transformar o Document em String:

onde "doc" é o Document tratado.

E depois assim para salvar em disco:

Estou com o seguinte erro ao tentar assinar o xml:

Minha classe está assim:

/*
 * To change this template, choose Tools | Templates
 * and open the template in the editor.
 */
package br.com.peoplesolutions.nfeservice.assinador;

/**
 *
 * @author Gilmar
 */
import java.security.*;
import java.security.Certificate;
import java.security.cert.*;
import java.io.*;
import java.util.*;
import javax.xml.parsers.*;
import javax.xml.transform.*;
import javax.xml.transform.dom.DOMSource;
import javax.xml.transform.stream.StreamResult;
import javax.xml.crypto.dsig.*;
import javax.xml.crypto.dsig.dom.DOMSignContext;
import javax.xml.crypto.dsig.keyinfo.*;
import javax.xml.crypto.dsig.spec.*;

import org.w3c.dom.Document;
import org.w3c.dom.NodeList;

public class TratadorCertificado {
    /*
     * 	Classe para tratamento de certificados. Deve fazer a manipulacao
     * dos certificados exportando chaves, assinando XML's e demais funcoes.
     *
     */

public static final String algoritmo = "RSA";
    public static final String algoritmoAssinatura = "MD5withRSA";
    private static final String C14N_TRANSFORM_METHOD = "http://www.w3.org/TR/2001/REC-xml-c14n-20010315";
    public static File file = new File("c:\\meuKeystore.jks");
    private static String alias = "meuAlias";
    private static char[] senha = "senhaKeystore".toCharArray();
    static XMLSignatureFactory sig;
    static X509Certificate cert;
    static KeyInfo ki;
    static SignedInfo si;
    static KeyStore rep;

public static PrivateKey getChavePrivada() throws Exception {
        
        InputStream entrada = new FileInputStream(file);
        rep.load(entrada, senha);
        entrada.close();
        Key chavePrivada = (Key) rep.getKey(alias, senha);

if (chavePrivada instanceof PrivateKey) {
        System.out.println("Chave Privada encontrada!");
        return (PrivateKey) chavePrivada;
        } else {
        System.out.println("NULL");
        return null;  // Está retornando null
        }
        
        
    }

public static PublicKey getChavePublica() throws Exception {

InputStream entrada = new FileInputStream(file);
        rep.load(entrada, senha);
        entrada.close();
        Key chave = (Key) rep.getKey(alias, senha);
        java.security.Certificate cert = (java.security.Certificate) rep.getCertificate(alias);//O tipo de dado é declarado desse modo por haver ambigüidade (Classes assinadas com o mesmo nome "Certificate")
        PublicKey chavePublica = cert.getPublicKey();
        System.out.println("Chave Pública encontrada!");
        return chavePublica;

}

public static boolean verificarAssinatura(PublicKey chave, byte[] buffer, byte[] assinado) throws Exception {

Signature assinatura = Signature.getInstance(algoritmoAssinatura);
        assinatura.initVerify(chave);
        assinatura.update(buffer, 0, buffer.length);
        return assinatura.verify(assinado);
    }

public static byte[] criarAssinatura(PrivateKey chavePrivada, byte[] buffer) throws Exception {

Signature assinatura = Signature.getInstance(algoritmoAssinatura);
        assinatura.initSign(chavePrivada);
        assinatura.update(buffer, 0, buffer.length);
        return assinatura.sign();
    }

public static String getValidade(X509Certificate cert) {
        try {
            cert.checkValidity();
            return "Certificado válido!";
        } catch (CertificateExpiredException e) {
            return "Certificado expirado!";
        } catch (CertificateNotYetValidException e) {
            return "Certificado inválido!";
        }
    }

public static void getCertificado() throws Exception {
        InputStream dado = new FileInputStream(file);
        rep = KeyStore.getInstance("JKS");
        rep.load(dado, senha);
        cert = (X509Certificate) rep.getCertificate(alias);
        String retorno = TratadorCertificado.getValidade(cert);
        System.out.println(retorno);
    }

public static void assinarDocumento(String localDocumento) throws Exception {
        DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
        dbf.setNamespaceAware(true);
        Document doc = dbf.newDocumentBuilder().parse(new FileInputStream(localDocumento));
        System.out.println("Documento ok!");

sig = XMLSignatureFactory.getInstance("DOM");

ArrayList<Transform> transformList = new ArrayList<Transform>();
        Transform enveloped = sig.newTransform(Transform.ENVELOPED, (TransformParameterSpec) null);
        Transform c14n = sig.newTransform(C14N_TRANSFORM_METHOD, (TransformParameterSpec) null);
        transformList.add(enveloped);
        transformList.add(c14n);

NodeList elements = doc.getElementsByTagName("infNFe");
        org.w3c.dom.Element el = (org.w3c.dom.Element) elements.item(0);
        String id = el.getAttribute("Id");
        Reference r = sig.newReference("#".concat(id), sig.newDigestMethod(DigestMethod.SHA1, null),
                transformList,
                null, null);
        si = sig.newSignedInfo(
                sig.newCanonicalizationMethod(CanonicalizationMethod.INCLUSIVE,
                (C14NMethodParameterSpec) null),
                sig.newSignatureMethod(SignatureMethod.RSA_SHA1, null),
                Collections.singletonList(r));

KeyInfoFactory kif = sig.getKeyInfoFactory();
        List x509Content = new ArrayList();
        x509Content.add(cert);
        X509Data xd = kif.newX509Data(x509Content);
        ki = kif.newKeyInfo(Collections.singletonList(xd));

DOMSignContext dsc = new DOMSignContext(getChavePrivada(), doc.getDocumentElement());
        XMLSignature signature = sig.newXMLSignature(si, ki);
        signature.sign(dsc);
        OutputStream os = new FileOutputStream("assinado.xml");
        TransformerFactory tf = TransformerFactory.newInstance();
        Transformer trans = tf.newTransformer();
        trans.transform(new DOMSource(doc), new StreamResult(os));

}

public static void main(String[] args) {

try {
            TratadorCertificado.getCertificado();
            TratadorCertificado.assinarDocumento("C:\\Documents and Settings\\Gilmar\\Desktop\\35090850559251000189550010000000010004001100-nfe.xml");
        } catch (Exception e) {
            e.printStackTrace();
        }

}
}

Meu certificado é do tipo .pfx

Estou usando essa ferramenta para criar o keystore http://yellowcat1.free.fr/index_ktl.html

Não sei se estou fazendo certo.
Tentei pela linha de comando e também não deu certo

JavaTeenager Membro desde: 26/11/2007 18:34:06 Mensagens: 184 Offline

Verifique se esta linha esta sendo executada:

System.out.println("Chave Privada encontrada!");

Pelo que entendi, vc esta tendo problemas em ler o jks.

Alencar

Consegui resolver de uma forma mais fácil graças a esses post do thingol http://www.guj.com.br/posts/list/15/87934.java

Usei o comando: keytool -list -storetype pkcs12 -keystore "Nfe emissor.pfx" e peguei o alias do meu .pfx

E mudei o método que pega a chave privada.

Ficou assim:

/*
 * To change this template, choose Tools | Templates
 * and open the template in the editor.
 */
package br.com.peoplesolutions.nfeservice.assinador;

/**
 *
 * @author Gilmar
 */
import java.security.*;
import java.security.Certificate;
import java.security.cert.*;
import java.io.*;
import java.util.*;
import javax.xml.parsers.*;
import javax.xml.transform.*;
import javax.xml.transform.dom.DOMSource;
import javax.xml.transform.stream.StreamResult;
import javax.xml.crypto.dsig.*;
import javax.xml.crypto.dsig.dom.DOMSignContext;
import javax.xml.crypto.dsig.keyinfo.*;
import javax.xml.crypto.dsig.spec.*;

import org.w3c.dom.Document;
import org.w3c.dom.NodeList;

public class TratadorCertificado {
    /*
     * 	Classe para tratamento de certificados. Deve fazer a manipulacao
     * dos certificados exportando chaves, assinando XML's e demais funcoes.
     *
     */

public static final String algoritmo = "RSA";
    public static final String algoritmoAssinatura = "MD5withRSA";
    private static final String C14N_TRANSFORM_METHOD = "http://www.w3.org/TR/2001/REC-xml-c14n-20010315";
    public static File file = new File("c:\\NFe emissao.pfx");
    private static String alias = "7329c51b033a11c43842c2768e4974ea_9781a9e3-5b38-48a9-a28d-6443bfbf0f03"; // Esse foi o alias retornado pelo comando
    private static char[] senha = "senha_do_meu_arquivo.pfx".toCharArray();
    static XMLSignatureFactory sig;
    static X509Certificate cert;
    static KeyInfo ki;
    static SignedInfo si;
    static KeyStore rep;

public static PrivateKey getChavePrivada() throws Exception {
        /*
        InputStream entrada = new FileInputStream(file);
        rep.load(entrada, senha);
        entrada.close();
        Key chavePrivada = (Key) rep.getKey(alias, senha);

if (chavePrivada instanceof PrivateKey) {
        System.out.println("Chave Privada encontrada!");
        return (PrivateKey) chavePrivada;
        } else {
        System.out.println("NULLLLLLLL");
        return null;
        }
         */
        KeyStore ks = KeyStore.getInstance("PKCS12");
        FileInputStream fis = new FileInputStream(file);

//load the keystore
        ks.load(fis, senha);

//get the private key for signing.
        PrivateKey privateKey = (PrivateKey) ks.getKey(alias, senha);

return privateKey;
    }

public static PublicKey getChavePublica() throws Exception {
        KeyStore ks = KeyStore.getInstance("PKCS12");
        FileInputStream fis = new FileInputStream(file);

//InputStream entrada = new FileInputStream(file);
        rep.load(fis, senha);
        fis.close();
        Key chave = (Key) rep.getKey(alias, senha);
        java.security.Certificate cert = (java.security.Certificate) rep.getCertificate(alias);//O tipo de dado é declarado desse modo por haver ambigüidade (Classes assinadas com o mesmo nome "Certificate")
        PublicKey chavePublica = cert.getPublicKey();
        System.out.println("Chave Pública encontrada!");
        return chavePublica;

}

public static boolean verificarAssinatura(PublicKey chave, byte[] buffer, byte[] assinado) throws Exception {

Signature assinatura = Signature.getInstance(algoritmoAssinatura);
        assinatura.initVerify(chave);
        assinatura.update(buffer, 0, buffer.length);
        return assinatura.verify(assinado);
    }

public static byte[] criarAssinatura(PrivateKey chavePrivada, byte[] buffer) throws Exception {

Signature assinatura = Signature.getInstance(algoritmoAssinatura);
        assinatura.initSign(chavePrivada);
        assinatura.update(buffer, 0, buffer.length);
        return assinatura.sign();
    }

public static String getValidade(X509Certificate cert) {
        try {
            cert.checkValidity();
            return "Certificado válido!";
        } catch (CertificateExpiredException e) {
            return "Certificado expirado!";
        } catch (CertificateNotYetValidException e) {
            return "Certificado inválido!";
        }
    }

public static void getCertificado() throws Exception {
        InputStream dado = new FileInputStream(file);
        rep = KeyStore.getInstance("PKCS12");
        rep.load(dado, senha);
        cert = (X509Certificate) rep.getCertificate(alias);
        String retorno = TratadorCertificado.getValidade(cert);
        System.out.println(retorno);
    }

public static void assinarDocumento(String localDocumento) throws Exception {
        DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
        dbf.setNamespaceAware(true);
        Document doc = dbf.newDocumentBuilder().parse(new FileInputStream(localDocumento));
        System.out.println("Documento ok!");

sig = XMLSignatureFactory.getInstance("DOM");

ArrayList<Transform> transformList = new ArrayList<Transform>();
        Transform enveloped = sig.newTransform(Transform.ENVELOPED, (TransformParameterSpec) null);
        Transform c14n = sig.newTransform(C14N_TRANSFORM_METHOD, (TransformParameterSpec) null);
        transformList.add(enveloped);
        transformList.add(c14n);

NodeList elements = doc.getElementsByTagName("infNFe");
        org.w3c.dom.Element el = (org.w3c.dom.Element) elements.item(0);
        String id = el.getAttribute("Id");
        Reference r = sig.newReference("#".concat(id), sig.newDigestMethod(DigestMethod.SHA1, null),
                transformList,
                null, null);
        si = sig.newSignedInfo(
                sig.newCanonicalizationMethod(CanonicalizationMethod.INCLUSIVE,
                (C14NMethodParameterSpec) null),
                sig.newSignatureMethod(SignatureMethod.RSA_SHA1, null),
                Collections.singletonList(r));

KeyInfoFactory kif = sig.getKeyInfoFactory();
        List x509Content = new ArrayList();
        x509Content.add(cert);
        X509Data xd = kif.newX509Data(x509Content);
        ki = kif.newKeyInfo(Collections.singletonList(xd));

DOMSignContext dsc = new DOMSignContext(getChavePrivada(), doc.getDocumentElement());
        XMLSignature signature = sig.newXMLSignature(si, ki);
        signature.sign(dsc);
        OutputStream os = new FileOutputStream("assinado.xml");
        TransformerFactory tf = TransformerFactory.newInstance();
        Transformer trans = tf.newTransformer();
        trans.transform(new DOMSource(doc), new StreamResult(os));

}

public static void main(String[] args) {

try {
            TratadorCertificado.getCertificado();
            TratadorCertificado.assinarDocumento("C:\\Documents and Settings\\Gilmar\\Desktop\\35090850559251000189550010000000010004001100-nfe.xml");
        } catch (Exception e) {
            e.printStackTrace();
        }

}
}

O melhor de tudo foi que eu não precisei criar nenhum keystore.

Nada como vasculhar o fórum!!!

HelloWorld Membro desde: 04/05/2009 08:49:31 Mensagens: 12 Offline

Boa Tarde Pessoal!

Achei que já havia finalizado a NFe, porém apareceu mais um erro que não consigo resolver.
A SEFAZ do Paraná obriga que eu coloque o namespace na tag NFe, como abaixo:

<enviNFe xmlns="http://www.portalfiscal.inf.br/nfe" versao="1.10">
<idLote>1</idLote>
<NFe xmlns="http://www.portalfiscal.inf.br/nfe">
(...)

mas quando eu assino meu documento e transformo ele de um objeto Document para um objeto String,
eu estou perdendo este namespace, e o meu documento xml está ficando assim

<enviNFe xmlns="http://www.portalfiscal.inf.br/nfe" versao="1.10">
<idLote>1</idLote>
<NFe>
(...)

Alguém sabe o que pod estar acontecendo?

JavaTeenager Membro desde: 26/11/2007 18:34:06 Mensagens: 184 Offline

Tente assim a saida:

Alencar

HelloWorld Membro desde: 04/05/2009 08:49:31 Mensagens: 12 Offline

É exatamente assim que eu estou fazendo...

será q não existe uma outra maneira, ou alguma propriedade que seja necessário setar, pois de acordo com a norma da w3c eu não posso ter tags com o mesmo namespace sem um prefixo, já que prefixos não são permitidos segundo o Layout da NFe, deve haver alguma coisa que eu tenho que fazer para poder ter namespaces repetidos, e aí, alguém arrisca?

Att.

Ernani C.S.,
Desenvolvimento - Joinville/SC

This message was edited 1 time. Last update was at 11/08/2009 18:13:08

Opa...

Pessoal estou com problemas em me comunicar com o ws... nao consigo tirar o erro:
unable to find valid certification path to requested target

O procedimento que usei:
1. Baixei o Associacao.pfx da SEFAZ;
2. Importei usando o próprio JRE (javaws) e exportei o arquivo Associacao.cer;
3. pelo keytool adicionei o .cer no CAcerts na pasta security do JRE.
4. Setei as variaveis do sistema assim:

5. To com o maledito erro:

Mesmo se tentar chamar os outros métodos do WS, recebo o mesmo erro. Estou usando o eclipse e ele ta configurado para usar o JDK1.5.

Olhei dentro da classe que chama o metodo e o link eh "http://www.portalfiscal.inf.br/nfe/wsdl/NfeStatusServico"... o de vocês esta assim tb ?

Preciso configurar algum certificado do WS na minha máquina ?

Vlw!

**************************************
Progredi mais um pouco.. (eu acho rs)

Acertei o keytool para o certificado (arquivo .cer), mas agora to com o seguinte erro:

O que errei na hora de setar os parâmetros ?

HelloWorld Membro desde: 04/05/2009 08:49:31 Mensagens: 12 Offline

O problema é o certificado.
Você não vai conseguir conectar os servidores da receita federal com este certificado, é necessário um certificado válido. Peça ele aos seus clientes ou compre um e-CNPJ, como fizemos aqui na empresa.

Olhe no site da certisign e dos correios (nos correios é mais barato)... o processo demora em torno de 96 horas, entre a compra do certificado e a autorização de uso.

Informe-se...

Outro problema é relacionado ao trustStore
ele está incorreto

Pesquise sobre SSL e o que é um trustStore você vai aprender...
procure por isso: montar JKS em java...

Para montar este trustStore JKS é necessário baixar as chaves públicas (.cer) das SEFAZ que você
pretende enviar notas... depois é só colocar tudo neste trustStore.
Este trustStore são os certificado que você vai aceitar, assim como tem no IE (lista de certificado aceitos, quer dizer que aquelas pessoas são confiáveis).

Att.

Ernani C.S.,
Desenvolvimento - Joinville/SC
PPINFO ERP - Sistema Web de Gestão Empresarial
http://www.ppinfo.com.br

This message was edited 1 time. Last update was at 12/08/2009 17:56:53

ernanics wrote:O problema é o certificado.
Você não vai conseguir conectar os servidores da receita federal com este certificado, é necessário um certificado válido. Peça ele aos seus clientes ou compre um e-CNPJ, como fizemos aqui na empresa.

Olhe no site da certisign e dos correios (nos correios é mais barato)... o processo demora em torno de 96 horas, entre a compra do certificado e a autorização de uso.

Informe-se...

Outro problema é relacionado ao trustStore
ele está incorreto

System.setProperty("javax.net.ssl.trustStoreType", "JKS"); System.setProperty("javax.net.ssl.trustStore", "associa"); System.setProperty("javax.net.ssl.trustStorePassword", "changeit");

Pesquise sobre SSL e o que é um trustStore você vai aprender...
procure por isso: montar JKS em java...

Para montar este trustStore JKS é necessário baixar as chaves públicas (.cer) das SEFAZ que você
pretende enviar notas... depois é só colocar tudo neste trustStore.
Este trustStore são os certificado que você vai aceitar, assim como tem no IE (lista de certificado aceitos, quer dizer que aquelas pessoas são confiáveis).

Att.

Ernani C.S.,
Desenvolvimento - Joinville/SC
PPINFO ERP - Sistema Web de Gestão Empresarial
http://www.ppinfo.com.br

Cara.. vlw as dicas... vou ver isso sim... principalmente a configuração dos .cer.. que preciso deixar de um jeito bem flexivel..
Acho que consegui resolver essa parte... e me deparei com outro problema.. que ai ja acho que o certificado que estou usando nao funciona...

postei minha duvida em outro post http://www.guj.com.br/posts/list/195/72325.java#723150 (são tantos de NFe que nem sei mais em qual postar.. hehe).

Vlw
****************************
Mudei o código e agora ta me dando:

Modifiquei o codigo para:

No keystore coloquei os .cer do arquivo SEFAZSP_homologacao.p7b

=/

Alguém teria um exemplo do código para geração do XML?

JavaTeenager Membro desde: 26/11/2007 18:34:06 Mensagens: 184 Offline

Algum colega de MG neste forum?
Se sim, por favor, me mande uma mensagem privada.

Grato

Alencar

javer wrote:Alguém teria um exemplo do código para geração do XML?

cara, você pode usar um framework p/ gerar o xml há vários, como o xstream, normalmente voce modela seu xml em um beam, e o frame gera o xml, ajuda bastante

abraço

What is classpath? Membro desde: 04/04/2006 23:25:19 Mensagens: 6 Offline

estou usando o código do gilmaslima, (muito obrigado por ter postado, ajudou d+)
com algumas alteraçoes para a nota de BH/MG. O xml tem algumas diferenças mínimas como:

ao invés de infNFe é InfNfse
e o param id é todo em minúsculo.

bem, peguei o alias usando o keytool e rodei o codigo, ok gerou o assinado.xml
porém comparando com a nota de exemplo pela sec. faz. faltou um parâmetro em uma tag no xml

na assinatura gerada ficou assim a tag:
e no arq exemplo assim: onde esse num é o id da nota

ainda nao consegui testar se a assinatura vai ser validada, mas já adiantando
alguem tem idéia de como adicionar esse Id na nota?

JavaTeenager Membro desde: 26/11/2007 18:34:06 Mensagens: 184 Offline

esta parte da assinatura (Id="NfseAssSMF_999999990001911733160024200900000000017")
é a URI do xml que vai ser assinado.
Caso vc nao informe a URI, o assinador assina todo o arquivo, o que nao é o caso da NFe.

Alencar

Notícias, artigos e o maior fórum brasileiro sobre Java