Firmas digitales PAdES

★ Pro — Commercial License Required

Los niveles de firma PAdES B-T, B-LT y B-LTA requieren el paquete Pro.

TCPDF-Next Pro implementa el pipeline completo de PAdES (ETSI EN 319 142) usando CertificateInfo, DigitalSigner, ByteRangeCalculator y SignatureAppearance.

Niveles de firma

Nivel	Valor enum	Qué agrega
B-B	SignatureLevel::PAdES_B_B	Firma CMS con certificado de firma
B-T	SignatureLevel::PAdES_B_T	Timestamp de firma RFC 3161
B-LT	SignatureLevel::PAdES_B_LT	Datos de revocación (OCSP + CRL) via DSS
B-LTA	SignatureLevel::PAdES_B_LTA	Timestamp de documento para validez indefinida

CertificateInfo

Carga y analiza certificados X.509 y claves privadas desde archivos PEM o PKCS#12.

use Yeeefang\TcpdfNext\Pro\Security\Signature\CertificateInfo;

// Desde archivos PEM
$cert = CertificateInfo::fromPem('/certs/signing.pem', '/certs/signing.key', 'pw');
$cert->chain(['/certs/intermediate.pem', '/certs/root.pem']);

// Desde PKCS#12 (cadena extraída automáticamente)
$cert = CertificateInfo::fromPkcs12('/certs/signing.p12', 'p12-password');

// Inspeccionar detalles del certificado
echo $cert->subjectCN();        // "John Doe"
echo $cert->issuerCN();         // "Acme Intermediate CA"
echo $cert->validFrom();        // DateTimeImmutable
echo $cert->ocspResponderUrl(); // "https://ocsp.acme.com"

DigitalSigner

Genera el contenedor de firma CMS/PKCS#7 y orquesta la incrustación de timestamps y LTV.

use Yeeefang\TcpdfNext\Core\Document;
use Yeeefang\TcpdfNext\Pro\Security\Signature\DigitalSigner;
use Yeeefang\TcpdfNext\Pro\Security\Timestamp\TsaClient;
use Yeeefang\TcpdfNext\Contracts\Enums\SignatureLevel;

$pdf  = Document::create()->addPage()->text('Contract document.');
$cert = CertificateInfo::fromPkcs12('/certs/signer.p12', 'pw');
$tsa  = new TsaClient('https://tsa.example.com/timestamp');

$signer = new DigitalSigner($cert);
$signer->level(SignatureLevel::PAdES_B_LTA);
$signer->timestampAuthority($tsa);
$signer->reason('Document approval');
$signer->location('Taipei, Taiwan');

$signer->sign($pdf);
$pdf->save('/output/signed.pdf');

En los niveles B-LT y B-LTA, LtvManager se invoca internamente para obtener respuestas OCSP y CRLs y construir el diccionario DSS.

ByteRangeCalculator

Gestiona el placeholder de firma y computa los rangos de bytes. Es manejado internamente por DigitalSigner; el uso directo es para escenarios avanzados.

SignatureAppearance

Controla la representación visible de la firma en la página. Las firmas son invisibles por defecto.

use Yeeefang\TcpdfNext\Pro\Security\Signature\SignatureAppearance;

$appearance = SignatureAppearance::create()
    ->page(1)
    ->position(x: 20.0, y: 250.0, width: 80.0, height: 30.0)
    ->text("Digitally signed by John Doe\nDate: 2026-02-16")
    ->image('/images/handwritten-signature.png')
    ->imagePosition('left')  // 'left', 'right', 'top', 'bottom', 'background'
    ->fontSize(8);

$signer->appearance($appearance);
$signer->sign($pdf);

Ejemplo completo B-LTA

use Yeeefang\TcpdfNext\Core\Document;
use Yeeefang\TcpdfNext\Pro\Security\Signature\{DigitalSigner, CertificateInfo, SignatureAppearance};
use Yeeefang\TcpdfNext\Pro\Security\Timestamp\TsaClient;
use Yeeefang\TcpdfNext\Contracts\Enums\SignatureLevel;

$pdf = Document::create()
    ->addPage()
    ->font('Helvetica', size: 14, style: 'B')
    ->text('Purchase Agreement')
    ->font('Helvetica', size: 11)
    ->text('This agreement is entered into on February 16, 2026...');

$cert = CertificateInfo::fromPkcs12('/certs/legal.p12', 'passphrase');
$tsa  = new TsaClient('https://tsa.example.com/timestamp');

$signer = new DigitalSigner($cert);
$signer->level(SignatureLevel::PAdES_B_LTA);
$signer->timestampAuthority($tsa);
$signer->appearance(
    SignatureAppearance::create()
        ->page(1)
        ->position(x: 20.0, y: 250.0, width: 80.0, height: 25.0)
        ->text("Signed by Legal Dept.\n2026-02-16")
);
$signer->reason('Purchase agreement execution');
$signer->location('Taipei, Taiwan');

$signer->sign($pdf);
$pdf->save('/contracts/purchase-agreement-signed.pdf');

Próximos pasos

• Long-Term Validation -- DSS, OCSP, CRL y timestamps de archivo.
• Integración HSM -- Firmar con módulos de seguridad de hardware via PKCS#11.
• Resumen del paquete Pro -- Listado completo de módulos e información de licencia.