В вашем случае - пустой и отсутствует , а значит подписываемыми данными является сам XML документ ( обернутая подпись)
Вы бы могли определить, что-то вроде и далее определить Здесь закодированный в BASE64 PDF файл В этом случае увеличивается размер XML файла, но за то он содержит PDF документ и подпись на этот документ ( окружающая подпись) Но также можно в указать, например В этом случае сам XML будет считаться отсоединенной подписью, но он будет гарантировать за счет ЭЦП, которую хранит в теге целостность "удаленного" PDF файла.
Ну вот как-то так, если кратко. За вами выбор какой способ предпочтительнее.
Вот, кстати, краткий ликбез www.di-mgt.com.au/xmldsig2.html

Большое спасибо вам. Вроде все полностью теперь понял.

Я также хотел сделать как вы написали (второй вариант), но просто не нашел в java апплете метода, который реализовывал бы подпись с Reference URI. Еще раз по ищу внимательно, если нет, то свой апплет будем писать ))

Добрый день!
А где на форуме или в SDK можно посмотреть пример проверки на Java статуса сертификата через OCSP ( ocsp.pki.gov.kz). Суть вопроса: есть подписанный XML от пользователя, необходимо после валидации подписи, проверить отозван ли данный сертификат, которым был подписан это XML.

Добрый день.
Используйте для проверки статуса сертификата списки отзыва (CRL), вместо OCSP.

Спасибо за ответ!
ЭЦП пользователя был например отозван в 10:01. Желательно чтобы в 10:02 его ЭЦП уже не могло быть использованным в системе. А CRL разве сразу обновляются на pki.gov.kz, как только ЭЦП был отозван?

Частоту обновления CRL можете увидеть скачав сам файл CRL. В поле следующее обновление.