Twitter Facebook Google + RSS Feed

Cómo firmar un documento PDF desde C# con iTextSharp

77
.NET FrameworkCertificados DigitalesSeguridad

Jueves, 24 de junio de 2010 a las 18:40hs por Gustavo Cantero (The Wolf)

Muchas veces tenemos que firmar un PDF utilizando un certificado X.509, y el iTextSharp (una excelente librería) nos puede ayudar a realizar esta tarea. Para esto les dejo un método que utilizo para hacer esto, que seguramente les va a ser de utilidad.

Para poder utilizar este código deben bajarse la librería iTextSharp (http://sourceforge.net/projects/itextsharp), y referenciar esta DLL y “System.Security” desde su proyecto.

A continuación les dejo el código:

using System;
using System.Collections;
using System.IO;
using System.Security.Cryptography;
using System.Security.Cryptography.Pkcs;
using iTextSharp.text;
using iTextSharp.text.pdf;
using Org.BouncyCastle.X509;
using SysX509 = System.Security.Cryptography.X509Certificates;

/// <summary>
/// Helper para el firmado de PDFs con la librería iTextSharp
/// </summary>
public static class PDF
{
    /// <summary>
    /// Firma un documento
    /// </summary>
    /// <param name="Source">Documento origen</param>
    /// <param name="Target">Documento destino</param>
    /// <param name="Certificate">Certificado a utilizar</param>
    /// <param name="Reason">Razón de la firma</param>
    /// <param name="Location">Ubicación</param>
    /// <param name="AddVisibleSign">Establece si hay que agregar la firma visible al documento</param>
    public static void SignHashed(string Source, string Target, SysX509.X509Certificate2 Certificate, string Reason, string Location, bool AddVisibleSign)
    {
        X509CertificateParser objCP = new X509CertificateParser();
        X509Certificate[] objChain = new X509Certificate[] { objCP.ReadCertificate(Certificate.RawData) };

        PdfReader objReader = new PdfReader(Source);
        PdfStamper objStamper = PdfStamper.CreateSignature(objReader, new FileStream(Target, FileMode.Create), '\0');
        PdfSignatureAppearance objSA = objStamper.SignatureAppearance;

        if (AddVisibleSign)
            objSA.SetVisibleSignature(new Rectangle(100, 100, 300, 200), 1, null);

        objSA.SignDate = DateTime.Now;
        objSA.SetCrypto(null, objChain, null, null);
        objSA.Reason = Reason;
        objSA.Location = Location;
        objSA.Acro6Layers = true;
        objSA.Render = PdfSignatureAppearance.SignatureRender.NameAndDescription;
        PdfSignature objSignature = new PdfSignature(PdfName.ADOBE_PPKMS, PdfName.ADBE_PKCS7_SHA1);
        objSignature.Date = new PdfDate(objSA.SignDate);
        objSignature.Name = PdfPKCS7.GetSubjectFields(objChain[0]).GetField("CN");
        if (objSA.Reason != null)
            objSignature.Reason = objSA.Reason;
        if (objSA.Location != null)
            objSignature.Location = objSA.Location;
        objSA.CryptoDictionary = objSignature;
        int intCSize = 4000;
        Hashtable objTable = new Hashtable();
        objTable[PdfName.CONTENTS] = intCSize * 2 + 2;
        objSA.PreClose(objTable);

        HashAlgorithm objSHA1 = new SHA1CryptoServiceProvider();

        Stream objStream = objSA.RangeStream;
        int intRead = 0;
        byte[] bytBuffer = new byte[8192];
        while ((intRead = objStream.Read(bytBuffer, 0, 8192)) > 0)
            objSHA1.TransformBlock(bytBuffer, 0, intRead, bytBuffer, 0);
        objSHA1.TransformFinalBlock(bytBuffer, 0, 0);

        byte[] bytPK = SignMsg(objSHA1.Hash, Certificate, false);
        byte[] bytOut = new byte[intCSize];

        PdfDictionary objDict = new PdfDictionary();

        Array.Copy(bytPK, 0, bytOut, 0, bytPK.Length);

        objDict.Put(PdfName.CONTENTS, new PdfString(bytOut).SetHexWriting(true));
        objSA.Close(objDict);
    }

    /// <summary>
    /// Crea la firma CMS/PKCS #7
    /// </summary>
    private static byte[] SignMsg(byte[] Message, SysX509.X509Certificate2 SignerCertificate, bool Detached)
    {
        //Creamos el contenedor
        ContentInfo contentInfo = new ContentInfo(Message);

        //Instanciamos el objeto SignedCms con el contenedor
        SignedCms objSignedCms = new SignedCms(contentInfo, Detached);

        //Creamos el "firmante"
        CmsSigner objCmsSigner = new CmsSigner(SignerCertificate);

        // Include the following line if the top certificate in the
        // smartcard is not in the trusted list.
        objCmsSigner.IncludeOption = SysX509.X509IncludeOption.EndCertOnly;

        //  Sign the CMS/PKCS #7 message. The second argument is
        //  needed to ask for the pin.
        objSignedCms.ComputeSignature(objCmsSigner, false);

        //Encodeamos el mensaje CMS/PKCS #7
        return objSignedCms.Encode();
    }
}

Descargar proyecto de ejemploAquí les dejo un proyecto de ejemplo donde se pide un PDF a firmar, luego donde escribir PDF firmado y toma el primer certificado personal que posea clave privada y lo utiliza para firmar el PDF.

Espero que este código les sea de utilidad.
Suerte!

Artículos relacionados


77 comentarios »

  1. Alberto Pérez dice:

    Hola Gustavo… espero no me odies, pero sigo con el mismo problema… “La clave no existe” AHGG!!.

    No sé que es lo que hago mal, pero en local me funciona y en el servidor no.
    La diferencia entre estas dos pruebas es la manera de obtener el certificado.
    En local (a través de la función “GetCertificate” de iTextSharp).
    En el servidor a través del Request.ClientCertificate indicando al IIS Requerir Canal Seguro SSL y Requerir certificado cliente.

    “Dim objCertHttp As HttpClientCertificate
    objCertHttp = Request.ClientCertificate
    Dim certificate As X509Certificate2
    certificate = New System.Security.Cryptography.X509Certificates.X509Certificate2(objCertHttp.Certificate)”

    A la hora de llamar a la función:
    PDF.SignHashed(source, target, certificate, “Razón”, “Localización”, True)

    Donde source es “C:\Inetpub\wwwroot\documentos\Prueba.pdf” y la carpeta documentos con permisos de escritura, lectura.
    y target “C:\Inetpub\wwwroot\documentos\Prueba_sign.pdf”

    Me persigue el error: “LA CLAVE NO EXISTE”.
    Creo que en local la clave existe porque cuando le doy al botón de firmar me pide el certificado (funcion getCertificate), mientras que en el servidor cuando entro en la página es cuando me pide el certificado (Request.ClientCertificate) (por el SSL de IIS) y me pide la clave, despues he de picar al botón de firmar y da el error.

    Por favor… ya se que abuso, pero necesito algo de luz!.
    Saludos

  2. darmowe e booki…

    I was interested in your article. Well, there are some people who are able to present this issue in such a way. I wish you continued success and looks forward to further articles….

  3. Alvaro Pardo dice:

    Hola Gustavo,

    Estamos probando a utilizar tu ejemplo, pero nos da error al compilarlo… ya que el método SingMsg no está definido.

    ¿Podrías añadirlo al ejemplo?

    Muchas gracias

  4. Juan Fran dice:

    Hola, Gustavo. En primer lugar agradecerte que hayas dejado este codigo en tu blog.
    Al compilar tu codigo me da el siguiente error

    Error 2 Argumento ‘1’: no se puede convertir de ‘System.Collections.Hashtable’ a ‘System.Collections.Generic.Dictionary’

    y la verdad es que estoy un poco perdido.

  5. Juan Fran dice:

    Hola Gustavo. En primer lugar agradecerte que haya sacado de la oscuridad. Eres un crack!!
    Al compilar el codigo me dan los siguientes errores y no se como solucionarlo:

    Error 1 La mejor coincidencia de método sobrecargado para ‘iTextSharp.text.pdf.PdfSignatureAppearance.PreClose(System.Collections.Generic.Dictionary)’ tiene algunos argumentos no válidos

    Error 2 Argumento ‘1’: no se puede convertir de ‘System.Collections.Hashtable’ a ‘System.Collections.Generic.Dictionary’

    • Juan, muchas gracias por tus palabras.
      Sobre el proyecto, puede ser que tengas una versión distinta del iTextSharp. Acabo de subir en este mismo artículo un proyecto de ejemplo funcionando para que lo puedas descargar y probar.
      Cualquier consulta no dudes en escribir.
      Suerte!

  6. Alberto Pérez dice:

    Primero Hola JuanFran, yo el tema de “System.Collections.Hashtable”/”System.Collections.Generic.Dictionary” lo he “solucionado (a mi me funciona)” modificando el código.
    Te lo dejo en VB.net que es lo que uso:
    ‘Dim objTable As New Hashtable()
    Dim objTable As New Dictionary(Of PdfName, Integer)
    objTable(PdfName.CONTENTS) = intCSize * 2 + 2
    objSA.PreClose(objTable)
    ———————————————–
    Hola Gustavo, estoy retomando el proyecto despues de unas vacacione si aún me encuentro algun problema, a ver si puedes ayudarme o cualquiera que pueda echarme una mano.

    – Cuando estoy en desarrollo, el proyecto funciona bien (firma el pdf), pero cuando intento publicarlo en el servidor IIS me da algun fallo.
    1-. (OPCION 1)Si publico el proyecto en un directorio virtual que SI requiere canal seguro SSL, a la hora de firmar el documento PDF me da el siguiente error:
    “La clave no existe”
    2-. (OPCION 2) Si publico el proyecto en un directorio virtual que NO requiere canal seguro SSL, al intentar acceder a la función GetCertificate me da el siguiente error:
    “The current session is not interactive”

    Os dejo el código en VB.net que estoy usando a ver si alguien da con la solución:

    Imports System.Collections
    Imports System.IO
    Imports System.Security.Cryptography
    Imports System.Security.Cryptography.Pkcs
    Imports iTextSharp.text
    Imports iTextSharp.text.pdf
    Imports Org.BouncyCastle.X509
    Imports SysX509 = System.Security.Cryptography.X509Certificates

    Imports System.Security
    Imports System.Security.Cryptography.X509Certificates
    Imports System.Security.Cryptography.X509Certificates.X509Certificate2

    ”’
    ”’ Helper para el firmado de PDFs con la librería iTextSharp
    ”’
    ”’
    Partial Class FirmaDigital02
    Inherits System.Web.UI.Page

    Protected Sub btnSignDigital_Click(ByVal sender As Object, ByVal e As System.EventArgs) Handles btnSignDigital.Click
    Try
    ”OPCIÓN 1: DIRECTORIO VIRTUAL IIS con SSL (requerir canal seguro)
    Dim objCertHttp As HttpClientCertificate
    objCertHttp = Request.ClientCertificate
    Dim certificate As X509Certificate2
    certificate = New System.Security.Cryptography.X509Certificates.X509Certificate2(objCertHttp.Certificate)
    ‘certificate = New SysX509.X509Certificate2(objCertHttp.Certificate)

    ”OPCIÓN 2: VENTANA SELECCIÓN CERTIFICADO
    ‘Dim certificate As X509Certificate2 = GetCertificate()

    Dim source As String = “C:\Inetpub\wwwroot\TestVB\documents\signats\PruebaSignatura.pdf”
    Dim target As String = “C:\Inetpub\wwwroot\TestVB\documents\signats\PruebaSignatura_hashed2.pdf”
    SignDigital.SignHashed(source, target, certificate, “Razón”, “Localización”, True)
    lblSignaPDF.Text = “Finalitzat correctament. Comprobar signa”
    Catch ex As Exception
    lblSignaPDF.Text = lblSignaPDF.Text & “Descripció error: ” & ex.Message
    End Try
    End Sub

    Public Shared Function GetCertificate() As X509Certificate2
    Dim st As New X509Store(StoreName.My, StoreLocation.CurrentUser)

    st.Open(OpenFlags.[ReadOnly])
    Dim col As X509Certificate2Collection = st.Certificates
    Dim card As X509Certificate2 = Nothing

    Dim sel As X509Certificate2Collection = X509Certificate2UI.SelectFromCollection(col, “Certificates”, “Seleccioni un certificat per a signar”, X509SelectionFlag.SingleSelection)
    If sel.Count > 0 Then
    Dim en As X509Certificate2Enumerator = sel.GetEnumerator()
    en.MoveNext()
    card = en.Current
    End If
    st.Close()
    Return card
    End Function

    ‘Private Sub New()
    ‘End Sub
    ”’
    ”’ Firma un documento
    ”’
    ”’ Documento origen
    ”’ Documento destino
    ”’ Certificado a utilizar
    ”’ Razón de la firma
    ”’ Ubicación
    ”’ Establece si hay que agregar la firma visible al documento
    Public Shared Sub SignHashed(ByVal Source As String, ByVal Target As String, ByVal Certificate As SysX509.X509Certificate2, ByVal Reason As String, ByVal Location As String, ByVal AddVisibleSign As Boolean)
    Dim objCP As New X509CertificateParser()
    ‘NOTA PRUEBAS de X509Certificate (ambiguo “Org.BouncyCastle.X509.X509Certificate()= X509Certificate()”)
    Dim objChain As Org.BouncyCastle.X509.X509Certificate() = New Org.BouncyCastle.X509.X509Certificate() {objCP.ReadCertificate(Certificate.RawData)}

    Dim objReader As New PdfReader(Source)
    Dim objStamper As PdfStamper = PdfStamper.CreateSignature(objReader, New FileStream(Target, FileMode.Create), ControlChars.NullChar)
    Dim objSA As PdfSignatureAppearance = objStamper.SignatureAppearance

    If AddVisibleSign Then
    objSA.SetVisibleSignature(New Rectangle(100, 100, 300, 200), 1, Nothing)
    End If

    objSA.SignDate = DateTime.Now
    objSA.SetCrypto(Nothing, objChain, Nothing, Nothing)
    objSA.Reason = Reason
    objSA.Location = Location
    objSA.Acro6Layers = True
    objSA.Render = PdfSignatureAppearance.SignatureRender.NameAndDescription
    Dim objSignature As New PdfSignature(PdfName.ADOBE_PPKMS, PdfName.ADBE_PKCS7_SHA1)
    objSignature.[Date] = New PdfDate(objSA.SignDate)
    objSignature.Name = PdfPKCS7.GetSubjectFields(objChain(0)).GetField(“CN”)
    If objSA.Reason IsNot Nothing Then
    objSignature.Reason = objSA.Reason
    End If
    If objSA.Location IsNot Nothing Then
    objSignature.Location = objSA.Location
    End If
    objSA.CryptoDictionary = objSignature
    Dim intCSize As Integer = 4000

    ‘Dim objTable As New Hashtable()
    Dim objTable As New Dictionary(Of PdfName, Integer)
    objTable(PdfName.CONTENTS) = intCSize * 2 + 2
    objSA.PreClose(objTable)

    Dim objSHA1 As HashAlgorithm = New SHA1CryptoServiceProvider()

    Dim objStream As Stream = objSA.RangeStream
    Dim intRead As Integer = 0
    Dim bytBuffer As Byte() = New Byte(8191) {}
    While (InlineAssignHelper(intRead, objStream.Read(bytBuffer, 0, 8192))) > 0
    objSHA1.TransformBlock(bytBuffer, 0, intRead, bytBuffer, 0)
    End While
    objSHA1.TransformFinalBlock(bytBuffer, 0, 0)

    Dim bytPK As Byte() = SignMsg(objSHA1.Hash, Certificate, False)
    Dim bytOut As Byte() = New Byte(intCSize – 1) {}

    Dim objDict As New PdfDictionary()

    Array.Copy(bytPK, 0, bytOut, 0, bytPK.Length)

    objDict.Put(PdfName.CONTENTS, New PdfString(bytOut).SetHexWriting(True))
    objSA.Close(objDict)
    End Sub

    ”’
    ”’ Crea la firma CMS/PKCS #7
    ”’
    Private Shared Function SignMsg(ByVal Message As Byte(), ByVal SignerCertificate As SysX509.X509Certificate2, ByVal Detached As Boolean) As Byte()
    ‘Creamos el contenedor
    Dim contentInfo As New ContentInfo(Message)
    ‘Instanciamos el objeto SignedCms con el contenedor
    Dim objSignedCms As New SignedCms(contentInfo, Detached)
    ‘Creamos el “firmante”
    Dim objCmsSigner As New CmsSigner(SignerCertificate)
    ‘ Include the following line if the top certificate in the
    ‘ smartcard is not in the trusted list.
    objCmsSigner.IncludeOption = SysX509.X509IncludeOption.EndCertOnly
    ‘ Sign the CMS/PKCS #7 message. The second argument is
    ‘ needed to ask for the pin.
    objSignedCms.ComputeSignature(objCmsSigner, False)
    ‘Encodeamos el mensaje CMS/PKCS #7
    Return objSignedCms.Encode()
    End Function

    Private Shared Function InlineAssignHelper(Of T)(ByRef target As T, ByVal value As T) As T
    target = value
    Return value
    End Function
    End Class

  7. Alberto Pérez dice:

    Hola Gustavo y compañía.
    He visto que has dejado un proyecto para descargar y probar (funciona perfectamente) y creo que he encontrado el porque de uno de los dos errores que me dan.
    El error (OPCION 2) que comento anteriormente se debe a que está utilizando X509Certificate2UI que solo se puede utilizar en una aplicación interactiva, como aplicaciones de WINDOWS FORMS.
    Esta funcion muestra la interfaz de usuario cuadros de dialogo que le permiten seleccionar y ver los certificados X.509.
    Esto no puede ser utilizado en APLICACIONES WEB asp.net (que es lo que estoy creando)
    Ahora solo me queda la opción 1, guardar la clave y poder usarla.. si alguien sabe como ¿?

    • Hola, Alberto. Si, como dices, no puedes utilizar la interfaz desde una aplicación web.
      Sobre el punto 1, seguramente el problema sea que el certificado a utilizar lo tienes instalado en un repositorio de usario, por lo tanto, cuando la aplicación se ejecuta en producción no lo encuentra. Prueba instalando tu certificado (con la clave privada) en un repositorio de la máquina (no de usuario) en el servidor utilizando la herramienta “certmgr”. En este artículo muestro un ejemplo de cómo hacerlo: Crear certificados de prueba para servidor y cliente.
      Suerte!

  8. Juan dice:

    ¿Estos ejejmplos corren con Vb2005?

  9. Juan dice:

    Gracias gustavo, ando buscando una manera para firmar pdf’s yme ha parecido simple…voy a probarlo…¿El ejemplo valido es el que has puesto para descargar?….

  10. Miguel dice:

    Hola.
    Estoy desarrollando un proyecto en el cual añado una imagen y un texto a cada hoja del PDF. Éste viene firmado.

    Para escribir en cada página, lo que hago básicamente es recorrer página a página, e ir creando nuevas páginas en un nuevo archivo e insertado el “contexto” (es decir, el contenido original) más lo que añado.

    El caso es que la 1º página viene firmada, y no se como extaer la firma (que quedaría invalida, pero me sirve) y colocarla en la 1º página del nuevo archivo)

    Alguna pista??

    Gracias y un saludo

  11. Alberto Pérez dice:

    Hola Gustavo,
    despues de un tiempo continúo trabajando el tema de la firma digital de pdf.
    Me dicen que no es posible lo que quiero hacer.
    Mi idea:
    Tener un pdf en el servidor web > El usuario lo selecciona > Clica el botón de firmar > Selecciona su certificado digital > y OK > El pdf firmado se queda en el servidor.
    Pues me dicen que no es posible firmar en el servidor con un certificado de cliente ya que la clave privada no puede viajar. Eso es cierto? Alguien tiene alguna idea de como podría hacerlo? o una aplicación WEB que haga esto.
    Yo buscaba algo parecido a lo que realiza Portasigma.com (firma online)

  12. karina dice:

    disculpa si solo kiero leer la firma desde un windows form
    no sabrias como poder hacerle?
    en un crystal report

  13. willi dice:

    Hola Tengo el siguiente mensaje de error, alguien podria ayudarme…!!!!!

    Dim intCSize As Integer = 4000
    Dim exc As New Dictionary(Of PdfName, Integer)()
    exc(PdfName.CONTENTS) = intCSize * 2 + 2
    sap.PreClose(exc)

    Se cae en la ultima linea PreClose!!!

    —————————
    prySignDig
    —————————
    ERROR: System.NullReferenceException: Referencia a objeto no establecida como instancia de un objeto.

    en iTextSharp.text.pdf.PdfPKCS7.GetSubjectFields(X509Certificate cert)

    en iTextSharp.text.pdf.PdfSignatureAppearance.GetAppearance()

    en iTextSharp.text.pdf.PdfSignatureAppearance.PreClose(Dictionary`2 exclusionSizes)

    en prySignDig.frmSignDig02.btnPrueba_Click(Object sender, EventArgs e) en D:\prySignDig08\prySignDig\frmSignDig02.vb:línea 102

  14. Fábio Freitas dice:

    Hola Gustavo,

    En primer lugar enhorabuena por tu artículo.

    Me pregunto si podemos abrir la pantalla para seleccionar un certificado digital en una aplicación web, de modo que firma un archivo XML y el acceso a un servicio Web?

    Traté de alguna manera y cuando llegué a más regalos de error siguiente:

    The current session is not interactive

    Le doy las gracias,

    Abrazos

    • Hola, Fabio.
      El problema que te da sobre “The current session is not interactive” seguramente sea porque estás intentando abrir el diálogo de selección de certificado del lado del servidor, lo cual no se puede. Si necesitas hacer que el usuario pueda firmar un documento utilizando una aplicación web lo mejor (si no es la única manera) es hacerlo a través de un control COM (con C++ o el viejo Visual Basic 6) ya que sino no vas a poder acceder al repositorio de certificados del cliente. Otra opción es utilizando Silverlight, con el cual aunque no puedas acceder al repositorio (a no ser que sea una aplicación out-of-browser) podés hacer que el usuario elija un archivo donde tiene su certificado y con eso firmarlo del lado del cliente (nosotro hemos hecho un proyecto así).
      Sobre la selección del certificado para el acceso a un servicio web: esto lo podés hacer configurando el IIS. En esta página te explica un poco mejor cómo hacerlo con IIS 7: Configurar la autenticación de asignaciones de certificado de cliente (IIS 7).
      Saludos.

  15. Roberto dice:

    Sobre el error en preclose os dejo el codigo en c#

    Dictionary objTable = new Dictionary() ;

    debereis incluir el using
    using System.Collections.Generic;

  16. Alberto Dolmann dice:

    Buenas, queria saber si puedo encontrar algun enlace ? que me permita solucionar el mismo problema que tiene Alberto Pérez, de firmar un documento desde una aplicación Web. Estoy con la opcion 1 (“La clave no existe”). Muchas Gracias

  17. Jaime dice:

    Supongo que lo habréis solucionado, pero lo de que en la web no os funcione, fijo que es por el usuario que está ejecutando el contexto de seguridad de la aplicación ( AppPool ). Para utilizarlo, deberéis instalar el certificado en el MYCOMPUTER desde certMngr.msc . Si necesitáis algo, podéis localizarme en jcastello@gmail.com.

  18. Maverifk dice:

    Hola Gustavo.
    Interesante código, por lo menos encontramos algo más que lo “documentado” por iText para su funcionalidad.
    Una pregunta, ¿como podría usar este certificado en un proceso de encriptación?
    ¡Gracias! y perdona las molestias

  19. danilo dice:

    Hola, Tengo problemas al firmar un PDF echo con ItextSharp y VB.
    me entregaron un certificado Digital y lo instalaron en el servidor.
    primero no se si con el .cer puedo firmar. segundo me dicen que no le colocaron clave para que pueda firmar cualquier documento. pero
    en el codigo arriba expuesto por uno de ustedes, al probarlo me sale error “la clave no exite”
    Basicamente lo que estoy haciendo es mandando el archivo origen que cree con ItextSharp y lo paso por el codigo asi:

    Public Shared Sub SignHashed(ByVal Source As String, ByVal Target As String, ByVal Certificate As SysX509.X509Certificate2, ByVal Reason As String, ByVal Location As String, ByVal AddVisibleSign As Boolean)
    Dim objCP As New X509CertificateParser()
    ‘NOTA PRUEBAS de X509Certificate (ambiguo “Org.BouncyCastle.X509.X509Certificate()= X509Certificate()”)
    Dim objChain As Org.BouncyCastle.X509.X509Certificate() = New Org.BouncyCastle.X509.X509Certificate() {objCP.ReadCertificate(Certificate.RawData)}

    Dim objReader As New PdfReader(Source)
    Dim objStamper As PdfStamper = PdfStamper.CreateSignature(objReader, New FileStream(Target, FileMode.Create), ControlChars.NullChar)
    Dim objSA As PdfSignatureAppearance = objStamper.SignatureAppearance

    If AddVisibleSign Then
    objSA.SetVisibleSignature(New Rectangle(100, 100, 300, 200), 1, Nothing)
    End If

    objSA.SignDate = DateTime.Now
    objSA.SetCrypto(Nothing, objChain, Nothing, Nothing)
    objSA.Reason = Reason
    objSA.Location = Location
    objSA.Acro6Layers = True
    objSA.Render = PdfSignatureAppearance.SignatureRender.NameAndDescription
    Dim objSignature As New PdfSignature(PdfName.ADOBE_PPKMS, PdfName.ADBE_PKCS7_SHA1)
    objSignature.[Date] = New PdfDate(objSA.SignDate)
    objSignature.Name = PdfPKCS7.GetSubjectFields(objChain(0)).GetField(“CN”)
    If objSA.Reason IsNot Nothing Then
    objSignature.Reason = objSA.Reason
    End If
    If objSA.Location IsNot Nothing Then
    objSignature.Location = objSA.Location
    End If
    objSA.CryptoDictionary = objSignature
    Dim intCSize As Integer = 4000

    ‘Dim objTable As New Hashtable()
    Dim objTable As New Dictionary(Of PdfName, Integer)
    objTable(PdfName.CONTENTS) = intCSize * 2 + 2
    objSA.PreClose(objTable)

    Dim objSHA1 As HashAlgorithm = New SHA1CryptoServiceProvider()

    Dim objStream As Stream = objSA.RangeStream
    Dim intRead As Integer = 0
    Dim bytBuffer As Byte() = New Byte(8191) {}
    While (InlineAssignHelper(intRead, objStream.Read(bytBuffer, 0, 8192))) > 0
    objSHA1.TransformBlock(bytBuffer, 0, intRead, bytBuffer, 0)
    End While
    objSHA1.TransformFinalBlock(bytBuffer, 0, 0)

    Dim bytPK As Byte() = SignMsg(objSHA1.Hash, Certificate, False)
    Dim bytOut As Byte() = New Byte(intCSize – 1) {}

    Dim objDict As New PdfDictionary()

    Array.Copy(bytPK, 0, bytOut, 0, bytPK.Length)

    objDict.Put(PdfName.CONTENTS, New PdfString(bytOut).SetHexWriting(True))
    objSA.Close(objDict)
    End Sub

    Private Shared Function SignMsg(ByVal Message As Byte(), ByVal SignerCertificate As SysX509.X509Certificate2, ByVal Detached As Boolean) As Byte()
    ‘Creamos el contenedor

    Dim contentInfo As ContentInfo = New ContentInfo(Message)
    ‘Dim contentInfo As New ContentInfo(Message)
    ‘Instanciamos el objeto SignedCms con el contenedor
    Dim objSignedCms As New SignedCms(contentInfo, Detached)
    ‘Creamos el “firmante”
    Dim objCmsSigner As New CmsSigner(SignerCertificate)
    ‘ Include the following line if the top certificate in the
    ‘ smartcard is not in the trusted list.
    objCmsSigner.IncludeOption = SysX509.X509IncludeOption.EndCertOnly
    ‘ Sign the CMS/PKCS #7 message. The second argument is
    ‘ needed to ask for the pin.
    objSignedCms.ComputeSignature(objCmsSigner, True) ‘ False)
    ””en este punto es donde me sale que la clave no existe!

    ‘Encodeamos el mensaje CMS/PKCS #7
    Return objSignedCms.Encode()
    End Function

    alguien que me ayude.

    Gracias

  20. Genaro Rico dice:

    Hola su código esta muy bueno sale un error en certificado pero es de trabajarlo para ver como lo soluciono, pregunto como se aplicaría este código a firmar un XML, si es posible, saludos gracias

  21. giancarlo dice:

    Conoces alguna libreria que firme y verifique con el Formato CAdES, XAdES y PAdES?? o como se haria con las librerias del .Net Framework, tienes ejemplo, informacion de los estandares?

  22. Luis dice:

    Hola Gustavo, ante que nada bajé tu código lo probé y anda barbaro. Tengo que desarrollar lo mismo en Java pero después de buscar y leer hace rato ya no consigo hacer lo mismo que en el ejemplo de C#.
    Necesito firmar con un certificado que está en el repositorio de windows, en donde al igual que tu ejemplo, me pida la password del mismo para firmar.
    Sabes de algún lugar como para investigar? busque en google pero no consigo dar con lo que necesito.
    Mil gracias!!
    Luis

  23. Jorge dice:

    hola gustavao tengo una duda con respecto al codigo lo he agregado en una interfaz web y me va bien puedo firma documentos en la web y todo no hay problema, lo q si no entiendo es q cuando descargo el pdf de un reportview de c# al momento de firma el pdf se me borrar los datos del pdf, me firma el pdf pero me borra los datos, en primer instancia pense q lo le estaba mandado el pdf q era pero ya lo he probado enviardole el pdf directamente pero de igual forma me borra los datos. de antemano gracias por leer y espero q me puedas ayudar

  24. Jorge dice:

    hola gustavo tengo una duda con respecto al codigo lo he agregado en una interfaz web y me va bien puedo firma documentos en la web y todo no hay problema, lo q si no entiendo es q cuando descargo el pdf de un reportview de c# al momento de firma el pdf se me borrar los datos del pdf, me firma el pdf pero me borra los datos, en primer instancia pense q no le estaba mandado el pdf que era, pero ya lo he probado enviardole el pdf directamente pero de igual forma me borra los datos. de antemano gracias por leer y espero q me puedas ayudar, agrego q los pdf q he firmado antes no me borra los datos.

    • La verdad es muy raro lo que te pasa. ¿Puede ser por la versión de PDF que usás que, tal vez, el iTextSharp no la soporte? ¿Estás usando la última versión de las librerías?
      Saludos.

    • Leonardo dice:

      Jorge, perdón por la molestia pero soy nuevo con el tema de firma digital… me podras pasar el codigo que implementas en tu interfaz web?
      Necesito que los usuarios ingresen en la web y firmen un pdf que esta alojado en el servidor, luego se guarda el nuevo pdf firmado (uno por cada usuario por supuesto) tambien en el servidor.
      Desde ya muchas gracias. leonardo_cwierz@yahoo.com.ar

  25. Juan camilo cordoba dice:

    Hola quisiera saber que linea cambiar si quiero elegir el certificado y que no lo tome automaticamente

    • En el código del formulario del ejemplo que podés descargar está este código:

      X509Store objStore = new X509Store(StoreName.My, StoreLocation.CurrentUser);
      objStore.Open(OpenFlags.ReadOnly);
      X509Certificate2 objCert = null;
      if (objStore.Certificates != null)
          foreach (X509Certificate2 objCertTemp in objStore.Certificates)
              if (objCertTemp.HasPrivateKey)
              {
                  objCert = objCertTemp;
                  break;
              }

      Lo que esto hace es buscar el primer certificado instalado que posea clave privada, y ese certificado lo envía como parámetro al método que firma el PDF (PDF.SignHashed).
      Para que el usuario pueda elegir el certificado a utilizar deberías reemplazar este código por otro que le muestre un diálogo para seleccionar el deseado. En esta página tenés un ejemplo de cómo hacer esta selección: Compatibilidad con certificados en las aplicaciones con .NET Framework 2.0.
      Espero te sirva.
      Suerte!

  26. juan camilo cordoba dice:

    Como hago para que me de la opcion de elegir el certificado a usar y que no lo tome automatico
    gracias!!!!!

  27. Juan Antonio García dice:

    Con la nueva versión 5.4.2

    Las siguientes líneas me dan error, que creo haber solucionado:

    objSA.Render = PdfSignatureAppearance.SignatureRender.NameAndDescription;
    Solucion:
    objSA.SignatureRenderingMode = PdfSignatureAppearance.RenderingMode.NAME_AND_DESCRIPTION;

    Stream objStream = objSA.RangeStream;
    Solucion:
    Stream objStream = objSA.GetRangeStream();

    Pero estas otras no puedo arreglarlas:

    objSA.SetCrypto(null, objChain, null, null);
    objSignature.Name = PdfPKCS7.GetSubjectFields(objChain[0]).GetField(“CN”);
    objSA.PreClose(objTable);

    Quizás deberías crear una nueva entrada actualizada.
    Gracias.

    Saludos

  28. Juan Antonio García Navalón dice:

    Bueno pues usando las librerias que tú usas me funciona CASI correctamente.
    Incluso he puesto la línea siguiente para pasarle la ruta de un certificado y su password:

    SysX509.X509Certificate2 Certificate = new SysX509.X509Certificate2(rutaCertificado, pass);

    El problema que tengo es que si el original cumple el standard pdf/a-1b, al firmarlo pierde el standard dando los siguientes errores:

    1-Problema de sintaxis: el objeto indirecto de palabra clave “obj” no va seguido de un marcador EOL

    2-Fuente no incrustada

    Y no sé como solucionar esto. Y es importante no romper el standar

    Un saludo

    • Juan Antonio Garcia Navalon dice:

      objSA.CertificationLevel = PdfSignatureAppearance.CERTIFIED_NO_CHANGES_ALLOWED;

      Con esa línea he quitado el error nº2
      Sólo me queda lo del marcador EOL

      A ver si alguien puede ayudarme

  29. santiago dice:

    Muchas gracias por la publicación realmente me sirvió muchísimo, ya puedo firmar el pdf y funciona casi perfecto, el único problema que tengo y aún no puedo resolverlo es que al aplicarle una segunda firma, la primera se corrompe, a que se puede deber esto?

    • santiago dice:

      Me respondó, hay que poner en LA DEFINICIÓN DEL STAMPER línea esto: Dim objStamper As PdfStamper = PdfStamper.CreateSignature(objReader, New FileStream(Target, FileMode.Create), “”, vbNull, True)

      Adicional si quieren el código completo con elección del certificado desde el almacen de certificados o desde un archivo en disco en vb solo envíen un correo para responderles con el ejemplo.
      Y nuevamente gracias por esta página es de muchisima utilidad.

  30. Martin Patricio dice:

    Excelente pagina, ya tiene mas de 3 años y veo que aun siguen retroalimentandose muchas personas Gustavo, y te lo digo asi como va TE LA FUMASTE CON ESTE ARTICULO (por no decir una groseria). Bueno ya utilice muchas cosas que comentas, pero tengo una duda grandisima ahora cuando abro el PDF firmado me manda este mensaje “HAY AL MENOS UNA FIRMA PRESENTA PROBLEMAS” y es por que la firma es desconocida de que forma podria validarla para que por lo menos en los equipos donde tengo instalado el certificado digital se valide correctamente, comentan de instalar algo como “Certificado Raiz” pero solo vi un ejemplo en la web de la casa de moneda de ESPAÑA!!! y yo soy de mexico.

    Saludos!

    • Muchas gracias por tus palabras, Martín, y disculpas por la demora en responder.
      Te comento que para que una firma sea válida necesitás instalar el certificado de la entidad emisora dentro del repositorio “Trusted Root Certification Authorities”. O sea, tu certificado debe estar firmado por otro certificado autofirmado de una entidad emisora. Los certificados de estas entidades, las más conocidas, ya vienen instaladas en tu Windows, por ejemplo, GoDaddy, SecureTrust, Microsoft, VeriSign, etc., pero si estás creando uno para probar deberías instalarlo en tu sistema operativo.
      En el artículo Crear certificados de prueba para servidor y cliente explico cómo crear tu certificado paso por paso, incluyendo el de la entidad emisora.
      También puede servirte el artículo
      Conceptos de Certificado Digital y Firma Digital donde explico los conceptos básicos de los certificados y la firma digital.
      Espero te sirva.
      Suerte!

  31. Juan Pablo dice:

    Gustavo,
    Antes que nada quería agradecerte por este post y los relacionados porque la verdad es un tema bastante complicado y cuesta encontrar información clara y concreta en Internet. Ejecute el código y anduvo perfectamente, pero me surgió una duda debido a mi falta de experiencia, al firmar el PDF en ningún momento hubo que ingresar la clave privada del certificado, ¿Esto es precisamente porque estamos levantando el primer certificado que contiene clave privada para firmar? ¿Hay alguna de evitar esta situación y obligar al usuario que ingrese la clave privada o contraseña al momento de utilizar el certificado para firmar?
    Espero haber sido claro y muchas gracias!
    Juan Pablo

    • Hola, Juan Pablo.
      En el ejemplo que subimos no te pide la contraseña del certificado porque buscamos el primer certificado que tenga clave privada y que esté en el repositorio del usuario, por lo cual, el sistema operativo me lo da sin necesidad de claves.
      Distinto sería el caso si utilizas, en lugar de un certificado “instalado”, un archivo que contenga el certificado con su clave privada.
      Para probar esto deberías reemplazar las siguientes lineas del archivo “Form1.cs”:

      X509Store objStore = new X509Store(StoreName.My, StoreLocation.CurrentUser);
      objStore.Open(OpenFlags.ReadOnly);
      X509Certificate2 objCert = null;
      if (objStore.Certificates != null)
          foreach (X509Certificate2 objCertTemp in objStore.Certificates)
              if (objCertTemp.HasPrivateKey)
              {
                  objCert = objCertTemp;
                  break;
              }

      por esta linea

      X509Certificate2 objCert = new X509Certificate2(@"C:\Path\archivo.pfx");

      Suerte!

      • Juan Pablo dice:

        Muchas Gracias por las respuestas Gustavo, te hago una pregunta mas por un tema que no estoy encontrando como resolver. Es factible instalar un certificado en el repositorio de Windows con seguridad alta y luego, desde el código, obtenerlo y utilizarlo para firmar un PDF pasándole el PIN de seguridad por código. Actualmente cuando instalo un certificado de esta manera me abre una ventana de Windows para que ingrese el PIN de seguridad pero mi aplicación es web con lo cual tengo que evitar esta ventana.
        Muchas Gracias!

  32. Yeison dice:

    Hola Gustavo, necesito firmar un pdf con una firma digital pero no poseo ningún conocimiento sobre este tema, descargue la aplicación con el código de ejemplo que ud subio pero siempre me sales el siguiente error “No posee certificados personal con clave privada”, por favor me puede decir como genero un certificado con clave privada o algún enlace donde pueda encontrar información al respecto. Muchas gracias.

  33. sanventru dice:

    Para los que necesiten utilizar un versión de itextsharp superior ejemplo 5.3 a continuación les dejo el código:

    X509Store store = new X509Store(StoreLocation.CurrentUser);
    store.Open(OpenFlags.ReadOnly);
    X509Certificate2Collection sel = X509Certificate2UI.SelectFromCollection(store.Certificates, null, null, X509SelectionFlag.SingleSelection);
    
    X509Certificate2 cert = sel[0];
    
    Org.BouncyCastle.X509.X509CertificateParser cp = new Org.BouncyCastle.X509.X509CertificateParser();
    Org.BouncyCastle.X509.X509Certificate[] chain = new Org.BouncyCastle.X509.X509Certificate[] {
    cp.ReadCertificate(cert.RawData)};
    
    IExternalSignature externalSignature = new X509Certificate2Signature(cert, "SHA-1");
    
    PdfReader pdfReader = new PdfReader(pathToBasePdf);
    
    signedPdf = new FileStream(pathToBasePdf, FileMode.Create);
    
    pdfStamper = PdfStamper.CreateSignature(pdfReader, signedPdf, '');
    PdfSignatureAppearance signatureAppearance = pdfStamper.SignatureAppearance;
    
    signatureAppearance.SignatureGraphic = Image.GetInstance(pathToSignatureImage);
    signatureAppearance.SetVisibleSignature(new Rectangle(100, 100, 250, 150), pdfReader.NumberOfPages, "Signature");
    signatureAppearance.SignatureRenderingMode = PdfSignatureAppearance.RenderingMode.GRAPHIC_AND_DESCRIPTION;
    
    MakeSignature.SignDetached(signatureAppearance, externalSignature, chain, null, null, null, 0, CryptoStandard.CMS);
  34. Leonardo dice:

    Gustavo, excelente blog, necesito saber como extraer los datos del certificado de un pdf firmado (nombre, vencimiento, nro de serie, etc) sabés de algún ejemplo o tutorial sobre esto? desde ya gracias!

  35. Leonardo dice:

    perdón, no aclaré… tengo que desarrollar un método en c# que recibe un pdf (path), abre el archivo y extrae los datos del certificado con que fue firmado para realizar algunas verificaciones… Gracias!!!

  36. Eduardo dice:

    Hola gustavo:
    deseo ver si quedo concretado sin detalles tu proyecto de firmar un documento…veo que el ejemplo esta hecho en C#, cabra la posibilidad de que lo tengas en VB deseo estudiarlo a fondo para poder aplicar la firma a los documentos pdf…de antemano muchas gracias

  37. Eduardo dice:

    Hola Gustavo:
    De nuevo yo por acá, trabaje según uno de los comentarios una parte del código donde sustituyes el certificado que agrega por default la aplicación, por uno creado por mí mismo en la aplicación nativa de Windows 8, logre crear un archivo PFX he hice referencia a este certificado…el error que me manda es que la contraseña no corresponde, me gustaría saber si me puedes ayudar con este detalle, sustituí
    X509Store objStore = new X509Store(StoreName.My, StoreLocation.CurrentUser);
    objStore.Open(OpenFlags.ReadOnly);
    X509Certificate2 objCert = null;
    if (objStore.Certificates != null)
    foreach (X509Certificate2 objCertTemp in objStore.Certificates)
    if (objCertTemp.HasPrivateKey)
    {
    objCert = objCertTemp;
    break;
    }
    Por
    X509Certificate2 objCert = new X509Certificate2(@”C:\certificado\Eduardo.pfx”);

    Algún detalle se me esta escapando si me puedes ayudar te lo agradecería mucho
    …gracias de antemano

    • Hola, Eduardo.
      ¿Puede ser que al crear el PFX le hayas puesto una contraseña? Si es así deberías agregarla en el constructor de la clase “X509Certificate2”, algo así:

      X509Certificate2 objCert = new X509Certificate2(@"C:\certificado\Eduardo.pfx", "miContraseña");

      Suerte!

  38. paulmago dice:

    Hola Gustavo, excelente codigo que pusiste en tu blog, me ayudo bastante, solo me queda una duda, en la firma digital que se estampa en el PDF, viene la leyenda, “Digitally Signed by” y el nombre del certificado, como es que puedo cambiar esta linea, ya que he estado intentando cambiarla en la siguiente linea:

    //objSignature.Name = PdfPKCS7.GetSubjectFields(objChain[0]).GetField("CN");   -----esta es la linea original y las de abajo es la linea que quiero que cambie
    ArrayList subjectsName = PdfPKCS7.GetSubjectFields(objChain[0]).GetFieldArray("CN");
    objSignature.Name = subjectsName[1].ToString();

    obteniendo asi, el segundo nombre de mi certificado, y de paso querer cambiar la leyenda a español, espero puedas ayudarme, de antemano muchas muchas gracias

    • Para cambiar el texto “Digitally Signed by” por uno personalizado necesitás establecer un valor en la propiedad Layer2Text de la clase PdfSignatureAppearance. Esta clase es la encargada de definir el formato de cómo se verá la firma en el PDF.
      Por ejemplo, si quiero que no aparezca el nombre del certificado a la izquierda de la firma, ni el detalle del certicado, pero quiero que diga “Firmado digitalmente por Gustavo Cantero” y que de fondo tenga el logo de Scientia, debería reemplazar la linea 42 por estas:

      objSA.Layer2Text = "Firmado digitalmente por Gustavo Cantero";
      objSA.SignatureGraphic = Image.GetInstance("logo.jpg");
      objSA.Render = PdfSignatureAppearance.SignatureRender.Description;

      Suerte!

      • paulmago dice:

        Muchas Gracias Gustavo, justamente ayer buscando un poco mas encontre en los libros que pusiste en alguna respuesta el como hacerlo, asi como lo mencionas, cambie el layer2text por el texto que deseaba, mi detalle era que el certificado tenia dos valores en el campo CN, por lo tanto agarraba el ultimo, el cual no pertenecia al nombre del que certificaba, si no a un grupo o una descripcion, modifique el codigo y lo comparto por si alguien mas tiene este pequeño detalle:

        objSA.Render = PdfSignatureAppearance.SignatureRender.Description;
        ArrayList subjectsName = PdfPKCS7.GetSubjectFields(objChain[0]).GetFieldArray("CN");
        objSA.Layer2Text  = "Firmado Digitalmente por: " + subjectsName[1].ToString()+"\n\r"+ DateTime.Now.ToString("yyyy/MM/dd HH:mm:ss");

        Muchas Gracias por tu ayuda Gustavo, Saludos!

  39. Jesus Ascama dice:

    Como puedo cambiar en la firma que aparezca una imagen y los datos que salen en ingles cambiarlos a español …

  40. Jesus Ascama dice:

    Como hago para cambiar el user? donde puedo modificarlo

  41. FRANCO CASTILLO dice:

    Estimado Gustavo Cantero (The Wolf), en el ejemplo de firma de documentos PDF, utilizas la versión ItextSharp 4.1, algunos métodos de allí, ya no están presentes en la versión 5.5, tendrás alguna actualización de tu ejemplo con la versión ItextSharp 5.5???

  42. David dice:

    Saludos Gustavo, con esta libreria se puede firmar utilizando sha256? saludos

  43. Gràcias, se trata de uno de los ejemplos más potentes i breves que se pueden encontrar.
    Me gustaria plantear una reflexión: objSHA1.Hash aunque pongas los mismos datos en el Stamper (incluso el mismo DateTime): el HASH __SIEMPRE__ sale distinto, dado el mismo PDF de origen.
    ¿ Cómo és esto ? ¿Se puede evitar de alguna manera? Lo pregunto por que seria interesante para hacer el SignMsg(objSHA1.Hash, Certificate, false); en diferido, en otro momento: cuando se pueda disponer del certificado en targeta.

  44. Leo dice:

    Tengo un problema, me lee el token de firma digital bien, pero me toma los certificados de esta y no la imagen que debería, ya que se trata de firma electrónica avanzada, alguien tiene algún problema como este, Saludos. atte.

Deja un comentario

Buscar