Sign Soap Header 'v201:kontekstWywolania'

[Puliczek]

Hi,

Did you manage to sign kontekstWywolania header in WSS4j?

[konczak]

Hi @Puliczek, as you could notice this branch is an proof of concept for expected solution (making calls to CSIOZ API to save e-recepta).

Currently you can take a look into this class: https://github.com/konczak/erecepta-poc-first/blob/master/ereceptapoc/src/main/java/pl/konczak/nzoz/ereceptapoc/soaprequesttool/WSSecurityHandler.java and the original source of it: https://sourceforge.net/p/signsoaprequest/code/HEAD/tree/SignSOAPRequest/trunk/src/main/java/br/gov/dataprev/soaptools/sign/

however it doesn't do exactly what you are asking about "sign kontekstWywolania header". As far as I understood while making call to CSIOZ API we need to sign body of request as patient treatment station using given certificate and apply calculated signature as part of SOAP request headers compliant to WS-Security and Token Profile which also includes public part of certificate. So as kontekstWywolania is part of headers we do not calculate signature from it - fix me if I'm wrong on that.

Currently solution creates SoapMessage class which printed as String seems to be correct because is in structure compliant to SOAP-UI sample - just calculated data are different as expected. However when send that request to CSIOZ it results with server error HTTP 500. I have already emailed them about it but still didn't receive answer what is wrong about my request.

I'm not an expert from SOAP client requests so tried to use an very low level solution with just concat Strings into XML + HTTP request but signatures occured to be a bit tricky. Currently I have made research what are the options for more efficient client side handling and so I'm learning Apache CXF which believe will also use WSS4j to handle WS-Security part - but I'm far from the finals yet.

PS. If it is not a secret share some info how you have got to this repo and what you are tring to achive :D

[Puliczek]

I have found your repo via search bar on github. Using "erecepta" query.

My main goal is to send and receive msg to CSIOZ API for erecepta.

Yeah, I started my project with Apache CXF but had some other problems... So I decided to go with your code. Normally I work in .net world, so my knowledge about WS and SOAP in Java is too weak.

I have discovered some issues with your code: 1) You probably have to add header to your CsiozClient.java httpPost.addHeader("SOAPAction", "urn:zapisPakietuRecept"); 2) You probably have to use random id in WSS parameter - ws-id

public Document signSoapMessage(SOAPMessage message) {
    try {
        Document doc = message.getSOAPBody().getOwnerDocument();
        Crypto crypto = CryptoFactory.getInstance(properties); //File

        WSSecSignature sign = new WSSecSignature();
        sign.setUserInfo(properties.getProperty("org.apache.ws.security.crypto.merlin.keystore.alias"), properties.getProperty("privatekeypassword"));
        sign.setKeyIdentifierType(WSConstants.BST_DIRECT_REFERENCE); // Binary Security Token - SecurityTokenReference
        sign.setUseSingleCertificate(true);
        sign.setDigestAlgo(DigestMethod.SHA1);

        // --- way better wsu:id ( instead of 'id-1' there is 'id-EIJDW201394832049234' )
        WsuIdAllocator idAllocator = new WsuIdAllocator() {
            public String createId(String prefix, Object o) {
                return "id-" + UUIDGenerator.getUUID();
            }

            public String createSecureId(String prefix, Object o) {
                return "id-" + UUIDGenerator.getUUID();
            }
        };

        WSSConfig wsConfig = new WSSConfig();
        wsConfig.setIdAllocator(idAllocator);
        sign.setWsConfig(wsConfig);

        WSSecHeader secHeader = new WSSecHeader();
        secHeader.insertSecurityHeader(doc);
        //We don't need this
        //secHeader.setMustUnderstand(true);

        Document signedDoc = sign.build(doc, crypto, secHeader);

        return signedDoc;
    } catch (SOAPException e) {
        e.printStackTrace();
        return null;
    } catch (WSSecurityException e) {
        e.printStackTrace();
        throw new RuntimeException("Error: " + e.getMessage());
    }
}

3) Soap Headers is not signed. Here is my comparison with SoupUi

• there is extra ds:Reference in SoupUi xml

I think we just need to sign this header to have working poc. However, I didn't figure out how to do it.

Thanks for help.

[Puliczek]

Ok, I have solved the last problem.

1) You have to setX509cert 2) Sign kontekstWywolania soap Header ( yeah I know that in CSIOZ documentation there are only words about signing body content but it is not true )

Right now I have Http 200 answer from CSIOZ.

If you need any help just get in touch.

[konczak]

So let's go first through points from earlier anser:

1. You probably have to add header to your CsiozClient.java httpPost.addHeader("SOAPAction", "urn:zapisPakietuRecept");

thank you very much - I have missed that - set an Content-Type header but missed SOAPAction - will add it as well.

2. You probably have to use random id in WSS parameter - ws-id yeah definitely - for start and proof of concept it was just enough for me and also made it easier to debug result and link signature and signed element.

3. Soap Headers is not signed. Here is my comparison with SoupUi

I have no idea how I could missed that during compare of code result and SoapUI - petty that it is missed in documentation. Maybe they assumed that if mentioned that request has to be signed we will find out that everything has to be secured. At some moments I have that strange feeling that they are repeating some encryptions and signups requirements accross single request :/ especially that anyway everything has to go through TLS and 2 way auth.

---

And now about next answer - that is awesome that you have find out a way to handle that - I guess that code is secret so won't ask about it 😜

1. You have to setX509cert

Sounds reasonable - strange that it didn't throw an exception during preparing singature though public part of certificate has to be applied to request.

2. Sign kontekstWywolania soap Header ( yeah I know that in CSIOZ documentation there are only words about signing body content but it is not true )

well as you have mentioned it has worked for you and SoapUI does the same - now I also see that message send via SoapUI contains multiple references inside signature. If it is not a problem a tip how you have manage to sign other parts is welcome seen 😄

[Puliczek]

At some moments I have that strange feeling that they are repeating some encryptions and signups requirements accross single request :/ especially that anyway everything has to go through TLS and 2 way auth.

Sometimes I feel that the whole CSIOZ e-recepta API is only to get things harder... No code examples, only theory in the documentation...

And now about next answer - that is awesome that you have find out a way to handle that - I guess that code is secret so won't ask about it stuck_out_tongue_winking_eye

Here is my question and answer: https://stackoverflow.com/questions/56701257/wsse-sign-an-element-inside-soapenvheader

Sounds reasonable - strange that it didn't throw an exception during preparing singature though public part of certificate has to be applied to request.

No worries, you will get 10+ errors after successive connection with CSIOZ. :P

• You have wrong Xades BST xml encryption (at least CSIOZ API told me that). I had to change it.

Right now I am fighting with several issues with my xml. For example the wrong id of a drug? I don't know why, because it is an offical example from CSIOZ -.-

[konczak]

I have checked your question and answer in StackOverflow and understood that you have altered code from wss4j to add your own to sign part of SOAP header. However did you really used ("something","somethingNamespace","") for the part? And did it work? Or it is just placeholder? Because I would believe that after specify namespace of "v201" where "kontekstWywolania" exists it could work.

About errors after successful connection - I expect them because even right now SoapUI project does not work and returns errors and validation warnings - and there is a lot of them. Server rejects my requests claiming that identified company does not match they record (address is different). Also it returns multiple errors about used medicaments that they are not known - while actually I'm using their sample project 🙄 I have identified that some data could be found under those files: Rejestr_Produktow_Leczniczych_stan_na_dzien_20190208230018.xml SOLR_LR-I-20190501-4282.xml but as long as they are only warnings I'm ignoring them 😛

Thanks for info about using BST - definitely it is incorrect - it shuld be set to use X509 certificate and apply only public part of certificate inside request signature.

[konczak]

I have also found out info about CXF and wss4j: http://ws.apache.org/wss4j/using.html http://www.itzone.pl/articles/java/cxf_ws_security.php that when using outgoing message interceptor we can specify what parts should be signed/encrypted like:

<entry key="signatureParts" value="{Element}{http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd}Timestamp;{Element}{http://schemas.xmlsoap.org/soap/envelope/}Body"/>

I think it can be useful for our case as well - just need to find a way how to apply this to WSSecSignature config - maybe properties are the way.

[Puliczek]

I have checked your question and answer in StackOverflow and understood that you have altered code from wss4j to add your own to sign part of SOAP header. However did you really used ("something","somethingNamespace","") for the part? And did it work? Or it is just placeholder?

No, those are fakes, exact working values: WSEncryptionPart aaa = new WSEncryptionPart("kontekstWywolania","http://csioz.gov.pl/p1/kontekst/mt/v20170510","");

Server rejects my requests claiming that identified company does not match they record (address is different).

Yeah, the server is going to validate everything: IDs, Address, Regon14, etc.

Also it returns multiple errors about used medicaments that they are not known - while actually I'm using their sample project 🙄 I have identified that some data could be found under those files: Rejestr_Produktow_Leczniczych_stan_na_dzien_20190208230018.xml SOLR_LR-I-20190501-4282.xml but as long as they are only warnings I'm ignoring them 😛

Right now I am struggling with this problem. I have to check those files. Thanks.

Thanks for info about using BST - definitely it is incorrect - it shuld be set to use X509 certificate and apply only public part of certificate inside request signature.

Btw. You can always use or check podpisKwalifikowany-1.4.1.jar from SoupUi CSIOZ's sample project. There is an answer on how to sign XML in a proper way.

I have also found out info about CXF and wss4j: http://ws.apache.org/wss4j/using.html http://www.itzone.pl/articles/java/cxf_ws_security.php that when using outgoing message interceptor we can specify what parts should be signed/encrypted like:

I think it can be useful for our case as well - just need to find a way how to apply this to WSSecSignature config - maybe properties are the way.

Cool, I think that this solution can save us from editing official Apache library :P Nevertheless, as I mentioned on StackOverflow, there is probably a bug in Apache library, in terms of adding extra parts to encode in programmatically way.

[konczak]

Hi @Puliczek as already mentioned I have been looking for more correct Java solution than manual handling of SOAPs with e-recepta WS and so I have created this repository: https://github.com/konczak/erecepta it uses Apache CXF as SOAP client engine.

At the current stage it still does not work (it is impossible to create e-recepta in server) and it is like few steps back comparing to this project (need to solve same problems) but I will apply required steps with time up there.

If you wish to still monitor my progress probably will like to add watch over https://github.com/konczak/erecepta repository.

Best regards

[MarcinGladkowski]

Hi! It's my solution to generate property signature o header based on previous messages. @konczak @Puliczek Thanks!

public Document signSoapMessage(SOAPMessage message) {
        try {
            Document doc = message.getSOAPBody().getOwnerDocument();
            Crypto crypto = CryptoFactory.getInstance(properties); //File

            WSSecSignature sign = new WSSecSignature();
            sign.setUserInfo(properties.getProperty("org.apache.ws.security.crypto.merlin.keystore.alias"), properties.getProperty("privatekeypassword"));
            sign.setKeyIdentifierType(WSConstants.BST_DIRECT_REFERENCE); // Binary Security Token - SecurityTokenReference
            sign.setUseSingleCertificate(true);
            sign.setDigestAlgo(DigestMethod.SHA1);

            // dodanie generatora id
            WsuIdAllocator idAllocator = new WsuIdAllocator() {
                public String createId(String prefix, Object o) {
                    return "id-" + UUIDGenerator.getUUID();
                }

                public String createSecureId(String prefix, Object o) {
                    return "id-" + UUIDGenerator.getUUID();
                }
            };

            WSSConfig wsConfig = new WSSConfig();
            wsConfig.setIdAllocator(idAllocator);
            sign.setWsConfig(wsConfig);

            WSSecHeader secHeader = new WSSecHeader();
            secHeader.insertSecurityHeader(doc);

            // dodanie do podpisu kontekstu wywolania - bez tego podpisze jedynie Body!
            List<WSEncryptionPart> parts = new ArrayList<WSEncryptionPart>();
            // kontekst wywolania
            WSEncryptionPart kontekstWywolania = new WSEncryptionPart("kontekstWywolania","http://csioz.gov.pl/p1/kontekst/mt/v20170510","");
            parts.add(kontekstWywolania);
            // body 
            WSEncryptionPart bodyPart = new WSEncryptionPart(WSConstants.ELEM_BODY, WSConstants.URI_SOAP11_ENV, "");
            parts.add(bodyPart);

            sign.setParts(parts);

            Document signedDoc = sign.build(doc, crypto, secHeader);

            return signedDoc;
        } catch (SOAPException e) {
            e.printStackTrace();
            return null;
        } catch (WSSecurityException e) {
            e.printStackTrace();
            throw new RuntimeException("Error: " + e.getMessage());
        }
    }

[Puliczek]

//nie bede pisac po angielsku bo i tak program dla polakow @Martin89PL @konczak Panowie a macie coś do generowania dokumentów recept hl7? Aktualnie robie to manualnie, ale oni tak dużo zmian wprowadzają, że nie da się nadążyć za utrzymaniem...

Widziałem na drugim repo @konczak tworzenie modeli na podstawie xsd, ale serio nie da się tego prościej zrobić?

[MarcinGladkowski]

@Puliczek Ja aktualnie jestem na etapie poprawnej komunikacji dla WyszukajReceptyWystawiającego czy jakoś tak :) Nie ja zajmuję się podpisem recept. Tworzeniem dokumentów pewnie zajmę się tak od poniedziałku :/ Także dopiero do tego przysiądę.

[konczak]

Hej, @Martin89PL gratuluję opracowania rozwiązania do podpisywania requestów SOAP praktycznie od zera :)

Ja zrezygnowałem z własnego rozwiązania na rzecz Apache CXF.

@Puliczek W repo i branch: https://github.com/konczak/erecepta/tree/update-erecepta-generation znajdziesz kod który pozwala na pełną obslugę e-recepty tzn:

1. przygotowanie dokumentu instancji obiektów klas Java reprezentujących receptę z refundacją https://www.csioz.gov.pl/HL7POL-1.3.1/plcda-html-1.3.1/plcda-html-1.3.1/tmp-2.16.840.1.113883.3.4424.13.10.1.26-2018-09-30T000000.html,
2. zserializowanie przygotowanego obiektu do pliku XML,
3. podpisanie dokumentu e-recepty jako lekarz z pomocą biblioteki https://github.com/esig/dss oraz algorytmu XADES,
4. przygotowanie SOAP request z weryfikacjaPakietuRecept z w/w e-receptą (który można zamienić na zapis tylko z powodu wymogu unikalnego ID przez serwer tak się mi łatwiej testowało),
5. wysłanie request SOAP i podpisanie go certyfikatem podmiotu za pomocą Apache CXF.

PS. To repo już raczej nie będę kontynuował - był to raczej PoC. PS2. To drugie repo muszę jeszcze posprzątać w kodzie i zrobić ładnego publicznego mastera :) PS3. To drugie repo również nie jest finalnym - zawiera jedynie kod przygotowania e-recepty - aplikacja która robi znacznie więcej a wystawianie e-recept będzie jedynie jej modułem jest w prywatnym repo. PS4. Bardzo możliwe że w tym drugim repo jeszcze będę walczył z aktualizacją dokumentu e-recepty bo CSIOZ aktualnie wprowadza nowe wymogi odnośnie walidacji bloku narracyjnego (nareszcie) https://ezdrowie.gov.pl/portal/artykul/wprowadzenie_walidacji_bloku_narracyjnego_dokumentu_e-recepty_-_aktualizacja - ale czekam na coś bardziej stabilnego. PS5. W drugim repo użyłem Apache CXF i JAXB do generowania modelu HL7 i skończyłem z manualnymi zmianami :( Inny develop pisał że on używa XmlBeans i jest zadowolony - zdecydowanie rozważam możliwość przesiadki - i najpewniej próby znajdą się w drugim repo.

[Puliczek]

@konczak No właśnie podglądałem Twoje drugie repo, kawał dobrej roboty tam zrobiłeś. Dzięki za podzielenie się wiedzą.

1. Tak ale to nie jest jedyny szablon który trzeba używać do e-recept, np. do e-recepty refundowanej trzeba użyć https://www.csioz.gov.pl/HL7ENG/pl-cda-html-en-US/tmp-2.16.840.1.113883.3.4424.13.10.1.3-2017-01-28T000000.html oraz inna https://www.csioz.gov.pl/HL7POL-1.3.1/plcda-html-1.3.1/plcda-html-1.3.1/tmp-2.16.840.1.113883.3.4424.13.10.1.7-2018-09-30T000000.html . No i problem jest nad zapanowaniem, szczególnie jak będą zmiany to nawet Twoim sposobem, nazwy klas typu II, ED, CS, IVLINT nie są zbyt czytalne jak dla mnie. Kurcze, sam nie wiem.
2. Do podpisu biblioteki użyłem biblioteki CSIOZ z projektu testowego, PodpisKwalifikowany.jar, uznałem że tam będzie poprawnie to zaimplementowane, chociaż podpisanie u mnie e-recepty trwa nawet do 3 sekund...
3. Tak, dobrze że po czasie dodali ten request weryfikacjaPakietuRecept, gdyż można sprawdzić poprawność xml na produkcji.
4. A to obsługuje ręcznie.

PS2. ooo to ja czekam :) PS4 (też wole od xboxa). No super, ale to juz powinno być pól roku temu wprowadzone, A nie 3 tygodnie przed wymogiem wejscia na produkcji przychodni... Jest gotowa transformata do tego, ją można użyć do stworzenia gotowego textu na podstawie xml e-recepty. PS5. Obadam tego XmlBeans ale wydaje mi się że nie będzie tam jakiegoś super ułatwienia.

Ja ogólnie mam napisane większość systemu już pod obsługę e-recept no ale co z tego skoro CSIOZ co chwile wprowadza zmiane i zaczynaja wyskakiwać błędy REG z API których nie ma na najnowszej wersji P1-DS-Z5-Lista_regul_P1.xlsx

Gdyby ktoś z was był zainteresowany wymianą wiedzy na temat pisania programów dla przychodni to stworzyłem grupę na facebook-u: https://www.facebook.com/groups/598282080920579/ Nie mogłem znaleźć innego miejsca, gdzie mogę wymieniać się wiedzą na ten temat, nie tylko o CSIOZ. A tematów będzie coraz więcej :P

[hakamairi]

Świetne repo i dobra dyskusja. Zastanawiałem się jeszcze nad generowaniem zamiast z xsd z plików decor. Wpadłem na taki filmik szukając informacji o tego typu narzędziach z CDA H7, co ciekawe jest tam nawet wspomniana implementacja z PL, tam generuja z plików .MIF, które to przez CSIOZ nie są udostępniane. Póki co bez sukcesów.

Znalazlem tez ich repo na githubie - https://github.com/MohawkMEDIC/everest/tree/master

[konczak]

Ja padłem jak wprowadzili generowanie sekcji czytelnej z transformaty. Nie mogłem pozbyć się problemów walidacji. Generalnie projekt został przerwany - ilość czasu potrzebnego na dostarczenie rozwiązania przerosła moje oczekiwania.

[Puliczek]

Tak to racja, mi się udało zrobić e-recepty, e-skierowania, e-deklaracja, baze leków. Ale czas jaki trzeba było na to poświęcić jest ogromny ;( Setki godzin... Jedna z gorszych integracji jakie przyszło mi pisać. Na siłe utrudniana przez twórców, błędy w dokumentacji, brak przykładów kodu.

[tomasz-kuchta]

@Puliczek a najlepsze w tym wszystkim jest to że po calej implementacji wprowadzają zmiany/ulepszenia struktur i połowa roboty od nowa :(

[tomasz-kuchta]

Zastanawialem sie tez nad projektem opensource z bibliotekami javy/c#/php czy cokolwiek na co by chetni do pisania byli z implementacja konkretnej wersji hl7 i innych struktur xml zeby dla kazdego chetnego pozostawala implementacja samej logiki biznesowej bez szarpania sie ze wszystki wywolaniami. Ewentualnie zebrac sie i napisac platne biblioteki i dzielic zarobkami ze sprzedazy (moze nawet sam NFZ by zakupil takie cos :) )

[Puliczek]

Tez myslalem o tym, ale masz odpowiedz z tym repo ile osob by robilo update :) A komercyjnie sie nie oplaca bo juz sam tworca P1 czyli Pentacomp sprzedaje "Platforma e-Zdrowia" czyli API do latwieszego wystawiania e-recept itp. :) To sa dopiero jaja, a drogie w cholere raczej liczcie w dziesiątkach tysięcy rocznie :D