PHP SoapClient – Problém s podpisovaním obsahu

Zdravím všetkých Webtržníkov. Chcel by som sa spýtať, či tu má niekto skúsenosti s komunikáciou s webovými službami prostrdníctvom PHP - SoapClient. Webová služba, s ktorou sa pokúšam komunikovať vyžaduje podpisovanie obsahu. Mám k dispozícii súbory *.crt a *.key, ktoré sú použité pri autorizácii VPN, aby bolo možné načítať WSDL súbory poskytovateľa služby. Pre podpísanie požiadavky som skúšal použiť knižnicu ako https://github.com/goodguy/php-signed-soap-client tak aj https://github.com/robrichards/wse-php, no ani v jednom prípade som sa nedopracoval k odpovedi zo servera. Zaujímalo by ma, či tu je niekto, kto má s týmto skúsenosti, s kým by bolo možné tento problém prekonzultovať. Vďaka

Ahoj,jestli jsem to pochopil správně, tak potřebuješ požadavky podepisovat pomocí WSS (WebService Security).Řešil jsem to teď na jednom projektu. Vyšel jsem z https://github.com/Maks3w/xmldsig, která využívá https://github.com/robrichards/xmlseclibs. Druhá jmenovaná knihovna slouží k obecnému podepisování XML dokumentů, první nastiňuje princip integrace do SOAP klienta. Celé podepisování a generování SOAP hlaviček pomocí té knihovny xmlseclibs jsem si nakonec napsal sám, všechno je pěkně popsané ve specifikaci WSS.Co ti ten server vrací? Odpoví vůbec?Na začátek taky zkus certifikát nakonfigurovat třeba do SOAP UI a poslat podepsaný požadavek z něj. Některé služby také mohou vyžadovat generování timestamps a jeho podepsání - více informací by ti měl dát k dispozici vystavovatel té služby.Honza

Pokiaľ som nepodpísal požiadavku žiadnym z vyššie uvedených knižníc, tak mi server vracal nasledujúcu odpoveď:<soap:Envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"> <soap:Body> <soap:Fault> <faultcode>soap:Server</faultcode> <faultstring>These policy alternatives can not be satisfied: {http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702}X509Token: The received token does not match the token inclusion requirement{http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702}UsernameToken: The received token does not match the token inclusion requirement{http://docs.oasis-open.org/ws-sx/ws-securitypolicy/200702}SignedParts: {http://schemas.xmlsoap.org/soap/envelope/}Body not SIGNED</faultstring> </soap:Fault> </soap:Body></soap:Envelope>Pri pokuse podpísať požiadavku pomocou https://github.com/robrichards/wse-php tak mi server vrátilAn invalid security token was provided (Bad ValueType "")Pre podpis som vytvoril súbory s koncovkou *.pem pomocou konzoly a príkazov:openssl rsa -in client.key -text > client.pemopenssl x509 -inform PEM -in client.crt > client.pem, ktoré som následne zadefinoval absolútnou cestou, ale k úspešnej odpovedi som sa nedopracoval.Skúšal som aj program SoapUI, v tomto ale nie som zbehlý a teda mi veľmi nepomohol. Ako som písal, mám dva certifikáty *.crt a jeden súbor *.key, technická podpora služby mi len odpísala toľko, že je potrebné správu podpísať. S podpisom skúsenosti nemám a tak som na tomto probléme zastal. Bol by som vďačný ak by si mi vedel poskytnúť tvoju knižnicu pre podpisovanie a poprípade mi vysvetlil ako nato.Stáva sa mi ináč, že pokiaľ spustím script na localhoste tak sa script vôbec ani nespustí, v konzole to hlási len "Caution: request is not finished yet!", nepomôže ani reštart localhostu. Je potrebné niekedy zavrieť celý prehliadač, resp. záložku a znova niekoľko krát reštartovať localhost.

Soap som v zivote nepouzil ale

Bad ValueType ""

myslim jasne dava na javo ze asi neposielas data v spravnom formate/strukture kedze dostava prazdnu hodnotu.

Vytvoření certifikátu ve formátu .pem je správný krok. Pak je třeba, aby samotné PHP bylo se zapnutým SSL. Soap klietna je třeba vytvořit s použitím cesrtifikátu, tedy:new SoapClient($wsdl, array('local_cert' => $local_cert))A důležité také je, že cesta k certifikátu by neměla být relativní.

Tento postup som skušal ale nepodarilo sa mi od servera dostať odpoveď na požiadavku. Nie je mi celkom jasné, či *.pem súbor má obsahovať kľúče ako zo súboru *.key tak aj zo súboru *.crt. mimochodom od poskytovaľa služby mám dva súbory s koncovkou *.crt. Jeden s názvom ca a druhý s názvom client. Tak či tak som skúšal už rôzne kombinácie ale neúspešne.Ako dobré riešenie sa mi javí riešenie, ktoré spomenul jansmitka. Potreboval by som s ním ale pomôcť.

Napsal Jan Stejskal;1183738

Vytvoření certifikátu ve formátu .pem je správný krok. Pak je třeba, aby samotné PHP bylo se zapnutým SSL. Soap klietna je třeba vytvořit s použitím cesrtifikátu, tedy:

new SoapClient($wsdl, array('local_cert' => $local_cert))

A důležité také je, že cesta k certifikátu by neměla být relativní.

Jedná se o WS-Security, což je podepisování samotných zasílaných dat. Volba local_cert slouží k nastavení certifikátu k ověřování klienta na úrovni SSL/TLS, což je něco jiného.

Napsal Crealab.sk;1183696

Pri pokuse podpísať požiadavku pomocou https://github.com/robrichards/wse-php tak mi server vrátil

An invalid security token was provided (Bad ValueType "")

Pre podpis som vytvoril súbory s koncovkou *.pem pomocou konzoly a príkazov:

openssl rsa -in client.key -text > client.pemopenssl x509 -inform PEM -in client.crt > client.pem

, ktoré som následne zadefinoval absolútnou cestou, ale k úspešnej odpovedi som sa nedopracoval.

Napsal Crealab.sk;1183743

Tento postup som skušal ale nepodarilo sa mi od servera dostať odpoveď na požiadavku. Nie je mi celkom jasné, či *.pem súbor má obsahovať kľúče ako zo súboru *.key tak aj zo súboru *.crt. mimochodom od poskytovaľa služby mám dva súbory s koncovkou *.crt. Jeden s názvom ca a druhý s názvom client. Tak či tak som skúšal už rôzne kombinácie ale neúspešne.

Podle odpovědi a toho co píšeš se opravdu jedná o WS-Security.K podpisu potřebuješ dva soubory: privátní klíč (*.key) a certifikát s veřejným klíčem (*.crt nebo *.cer), oba musí zůstat v oddělených souborech. Oba mimochodem většinou ve formátu PEM, takže by nemělo být potřeba je jakkoliv konvertovat. CA soubor slouží pouze k tomu, pokud by ses rozhodl ověřovat správnost podpisu odpovědi, případně aby tvůj lokální systém věřil samotnému certifikátu (k podpisu není potřeba).Postup pro podpis je zhruba následující:Vygeneruješ normální SOAP požadavek, což je XML, ten ale neposíláš. Z daného XML musíš podepsat element soapenv:Body (tj. vypočítáš hash z celého kanonizovaného elementu, ten vložíš spolu s informacemi o použitých algoritmech do informacích o podpisu (element ds:Signature) a z toho se vypočítá další hash - vloží se dvakrát, jednou normálně a podruhé zašifrovaný privátním klíčem - ten ti nikdy nesmí uniknout). K podpisu se také přiloží celý certifikát s veřejným klíčem - na základě něj si může druhá strana ověřit, že podpis nikdo neupravil. Z certifikátu si vytáhne veřejný klíč a může dešifrovat část hashe v podpisu. Certifikát navíc může být v několika různých formátech. Všechny informace o podpisu se vloží jako hlavička wsse:Security do elementu soapenv:Body.Hodilo by se, kdybys uložil požadavek, který se na server posílá, abych se mohl podívat, co na něm vypadá špatně a co případně chybí.Podepsaný požadavek má vypadat nějak takto:<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"> <soapenv:Header> <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" soapenv:mustUnderstand="1"> <wsse:BinarySecurityToken xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="CertId-2035778" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3"> MIID... </wsse:BinarySecurityToken> <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#" Id="Signature-10185078"> <ds:SignedInfo> <ds:CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/> <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> <ds:Reference URI="#id-24845314"> <ds:Transforms> <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> </ds:Transforms> <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <ds:DigestValue>jj4v...</ds:DigestValue> </ds:Reference> </ds:SignedInfo> <ds:SignatureValue>SMVJ...</ds:SignatureValue> <ds:KeyInfo Id="KeyId-33033230"> <wsse:SecurityTokenReference xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="STRId-28110067"> <wsse:Reference URI="#CertId-2035778" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509- token-profile-1.0#X509v3"/> </wsse:SecurityTokenReference> </ds:KeyInfo> </ds:Signature> </wsse:Security> </soapenv:Header> <soapenv:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="id-24845314"> <!-- ... --> </soapenv:Body></soapenv:Envelope>Samotný certifikát je v elementu wsse:BinarySecurityToken, jeho atribut ValueType určuje formát. Certifikát *.crt je právě onen #X509v3. Z elementu KeyInfo se odkazuje na použitý certifikát. Element ds:SignedInfo obsahuje informace o elementech, které byly podepsány, použité algoritmy a samotné hodnoty hashů. ds:SignatureValue pak obsahuje podepsaný element ds:SignedInfo.Podle chybové hlášky soudím, že knihovna nepřipojila všechny potřebné informace - buď úplně vynechala přiložení certifikátu, nebo nevyplnila ValueType. Nebo jsi mu dal něco, co není certifikát - třeba ten privátní klíč, ten se mu pak do zprávy ani nepodaří zahrnout.Kód mého řešení poskytnout nemohu. Pokud bys potřeboval pomoci, tak se můžeme dohodnout na nějaké konzultaci - více info do zpráv.

Vďaka jansmitka, sa mi podarilo odstrániť chybu Bad ValueType, momentálne sa ale vyskytla ďalšia chyba:Fatal error: Uncaught SoapFault exception: The security token could not be authenticated or authorized.Generovaný XML s požiadavkou pre webovú službu:<?xml version="1.0" encoding="UTF-8"?><SOAP-ENV:Envelope xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ns1="http://domain.com/services/types/common" xmlns:ns2="http://domain.com/services"> <SOAP-ENV:Header> <wsse:Security xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" SOAP-ENV:mustUnderstand="1"> <wsse:BinarySecurityToken xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" EncodingType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0#Base64Binary" wsu:Id="pfx2d6ab36f-f727-3785-696d-73bff98d2e7c" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3">MIIHMz...</wsse:BinarySecurityToken> <ds:Signature xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <ds:SignedInfo> <ds:CanonicalizationMethod Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> <ds:SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/> <ds:Reference URI="#pfx828111a2-7f37-94f8-dc21-e0e3b489a08b"> <ds:Transforms> <ds:Transform Algorithm="http://www.w3.org/2001/10/xml-exc-c14n#"/> </ds:Transforms> <ds:DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/> <ds:DigestValue>YhzgrD...</ds:DigestValue> </ds:Reference> </ds:SignedInfo> <ds:SignatureValue>qF3YG3W...</ds:SignatureValue> <ds:KeyInfo> <wsse:SecurityTokenReference xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="pfx4aa3f28a-2158-97bb-18a7-161b985ce1e4"> <wsse:Reference URI="#pfx2d6ab36f-f727-3785-696d-73bff98d2e7c" ValueType="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0#X509v3"/> </wsse:SecurityTokenReference> </ds:KeyInfo> </ds:Signature> </wsse:Security> </SOAP-ENV:Header> <SOAP-ENV:Body xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" wsu:Id="pfx828111a2-7f37-94f8-dc21-e0e3b489a08b"> <!-- ... --> </SOAP-ENV:Body></SOAP-ENV:Envelope>Vie niekto poradiť, kde by mohla byť chyba?