Padro de Certificado Digital definido pelo Modelo NFS-e Nacional

Os certificados digitais utilizados no sistema de Notas Fiscais de Servio Eletrnicas sero emitidos por Autoridade Certificadora
credenciada pela Infraestrutura de Chaves Pblicas Brasileira ICP-Brasil, de pessoa fsica ou jurdica, dos tipos A1, A3 ou certificado
de servidor (hbrido), devendo conter o CNPJ da pessoa jurdica titular do certificado digital no campo otherName OID =2.16.76.1.3.3.
Para a assinatura digital dos documentos envolvidos aceitar-se- que o certificado digital seja de quaisquer dos estabelecimentos da
empresa.
Os certificados digitais sero exigidos em dois momentos distintos para a integrao entre o sistema do contribuinte e o Web Service das
Secretarias Municipais de Finanas:
a)

Assinatura de Mensagens: O certificado digital utilizado para essa funo dever conter o CNPJ do estabelecimento emissor
da NFS-e ou o CNPJ do estabelecimento matriz. O certificado digital dever ter o uso da chave previsto para a funo de
assinatura digital, respeitando a Poltica do Certificado.

b)

Transmisso (durante a transmisso das mensagens entre os servidores do contribuinte e os servios disponibilizados pelas
Secretarias Municipais de Finanas): O certificado digital utilizado para identificao do aplicativo do contribuinte dever conter
o CNPJ do responsvel pela transmisso das mensagens, mas no necessita ser o mesmo CNPJ do estabelecimento emissor
da NFS-e, devendo ter a extenso extended Key Usage com permisso de "Autenticao Cliente".

Padro de Assinatura Digital definido pelo Modelo NFS-e Nacional

As mensagens enviadas ao Portal da Secretaria Municipal de Finanas so documentos eletrnicos elaborados no padro XML e devem
ser assinados digitalmente com um certificado digital que contenha o CNPJ de um dos estabelecimentos da empresa emissora da NF-e
objeto do pedido.
Os elementos abaixo esto presentes dentro do Certificado do contribuinte tornando desnecessria a sua representao individualizada
no arquivo XML. Portanto, o arquivo XML no deve conter os elementos:

<X509SubjectName>
<X509IssuerSerial>
<X509IssuerName>
<X509SerialNumber>
<X509SKI>

Deve-se evitar o uso das TAG abaixo, pois as informaes sero obtidas a partir do Certificado do emitente:

<KeyValue>
<RSAKeyValue>
<Modulus>
<Exponent>

O Projeto NFS-e utiliza um subconjunto do padro de assinatura XML definido pelo http://www.w3.org/TR/xmldsig-core/, que tem o
seguinte leiaute:

Schema XML: xmldsig-core-schema20020212.xsd

#
XS01
XS02
XS03
XS04
XS05

Campo

Ele

Signature
Raiz
Id
A
SignedInfo
G
CanonicalizationMethod G
Algorithm
A

Pai

Tipo

Ocor.

XS01
XS01
XS03
XS04 C

1-1
1-1
1-1
1-1

XS06 SignatureMethod
XS07 Algorithm

G
A

XS03
XS06 C

1-1
1-1

XS08
XS09
XS10
XS11
XS12
XS13

G
A
G
RC
G
A

XS03
XS08 C
XS08
XS10
XS10
XS12 C

1-1
1-1
1-1
1-1
2-2
1-1

E
G
A

XS12 C
XS08
XS15 C

0-N
1-1
1-1

XS17 DigestValue

XS08 C

XS18
XS19
XS20
XS21

G
G
G
E

XS01
XS01
XS19
XS20 C

1-1
1-1
1-1
1-1

Reference
URI
Transforms
Unique_Transf_Alg
Transform
Algorithm

XS14 XPath
XS15 DigestMethod
XS16 Algorithm

SignatureValue
KeyInfo
X509Data
X509Certificate

Descrio/Observao

Grupo da Informao da assinatura

Grupo do Mtodo de Canonicalizao
Atributo Algorithm de CanonicalizationMethod:
http://www.w3.org/TR/2001/REC-xml-c14n-20010315
Grupo do Mtodo de Assinatura
Atributo Algorithm de SignatureMethod:
http://www.w3.org/2000/09/xmldsig#rsa-sha1
Grupo Reference
Atributo URI da tag Reference
Grupo do algorithm de Transform
Regra para o atributo Algorithm do Transform ser nico.
Grupo de Transform
Atributos vlidos Algorithm do Transform:
http://www.w3.org/TR/2001/REC-xml-c14n-20010315
http://www.w3.org/2000/09/xmldsig#envelopedsignature
Xpath
Grupo do Mtodo de DigestMethod
Atributo Algorithm de DigestMethod:
http://www.w3.org/2000/09/xmldsig#sha1
Digest Value (Hash SHA-1 Base64)
Grupo do Signature Value
Grupo do KeyInfo
Grupo X509
Certificado Digital x509 em Base64

Segue abaixo um exemplo:

<?xml version="1.0" encoding="utf-8"?>
<EnviarLoteRpsEnvio xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns="http://www.abrasf.org.br/nfse">
<LoteRps Id="Lote0613375800018401">
<NumeroLote>1</NumeroLote>
<Cnpj>06133758000184</Cnpj>
<InscricaoMunicipal>5000090</InscricaoMunicipal>
<QuantidadeRps>1</QuantidadeRps>
<ListaRps>
<Rps>
<InfRps Id="Rps1A1">
<...>
</InfRps>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>
<Reference URI="#Rps11A11">
<Transforms>

<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>KOwVwUebmG7CgSuiU2e7ai1K0oU=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>rSzVLQTDA/cqVAzjOc0aupbDW1iv+...</SignatureValue>
<KeyInfo>
<X509Data> <X509Certificate>MIIGljCCBX6gAwIBAgIQG03rAk...</X509Certificate>

</X509Data>
</KeyInfo>
</Signature>
</Rps>
</ListaRps>
</LoteRps>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
<CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
<SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1"/>

<Reference URI="#Lote06071725000157326">
<Transforms>
<Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature"/>
<Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315"/>
</Transforms>
<DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1"/>
<DigestValue>/lZY/xVr2oinaj+QqkV4ZUFnfPg=</DigestValue>
</Reference>
</SignedInfo>
<SignatureValue>B6DRXe4QFBiQQLFA1SRkIgZS1...</SignatureValue>
<KeyInfo>
<X509Data>
<X509Certificate>MIIGljCCBX6gAwIBAgIQG03rAk...</X509Certificate>
</X509Data>
</KeyInfo>
</Signature>
</EnviarLoteRpsEnvio>

Para o processo de assinatura, o contribuinte no deve fornecer a Lista de Certificados Revogados, j que a mesma ser montada e
validada por cada Secretaria Municipal de Finanas no momento da conferncia da assinatura digital.
A assinatura digital do documento eletrnico dever atender aos seguintes padres adotados:
a)
b)
c)
d)
e)
f)
g)
h)
i)

Padro de assinatura: XML Digital Signature, utilizando o formato Enveloped (http://www.w3.org/TR/xmldsig-core/);

Certificado digital: Emitido por AC credenciada no ICP-Brasil (http://www.w3.org/2000/09/xmldsig#X509Data);
Cadeia de Certificao: EndCertOnly (Incluir na assinatura apenas o certificado do usurio final);
Tipo do certificado: A1 ou A3;
Tamanho da Chave Criptogrfica: Compatvel com os certificados A1 e A3 (1024 bits);
Funo criptogrfica assimtrica: RSA (http://www.w3.org/2000/09/xmldsig#rsasha1);
Funo de message digest: SHA-1 (http://www.w3.org/2000/09/xmldsig#sha1);
Codificao: Base64 (http://www.w3.org/2000/09/xmldsig#base64);
Transformaes exigidas: til para realizar a canonicalizao do XML enviado para realizar a validao correta da Assinatura
Digital. So elas:
1) Enveloped (http://www.w3.org/2000/09/xmldsig#enveloped-signature)
2)
C14N (http://www.w3.org/TR/2001/REC-xml-c14n-20010315)