Cita: Está el método "attachTokentoSig" pero al no tener la etiqueta "xxx:Signature" en el XML me salta un error, y no he visto el método para generarlo.
no crees que te salta error por que estas pasando el certificado como PRIVATE_KEY y no poseemos una private_key por tanto deberia ser NULL, bueno al menos eso es lo que veo en el código que haz pegado aquí.
con null me refiero a que puedes pasar el valor NULL al momento de asignar el private_key dado que no lo necesitamos o simplemente podrías quitar esa fracción de código.
respecto a lo demás, se ve que cada vez avanzamos más.
espero esto soluciones nuestras duditas y continuemos viendo avances.
saludos.