Это уже практика А начинать надо с начала - с теории - которая говорит что ЭЦП формы вообще никоим образом к xpage не относится. И даже вредно об xpage в таком контексте думать. Потому что само ЭЦП данных формы происходить должна во фронт-энде с использованием браузерного криптопровайдера.
Т.е. сначало определяется API криптопровайдера, которым можно оперировать. Потом определяется целевой набор данных формы, сумма которых необходима для хеш-функции, через API криптопровайдера получается хеш данных и пишется в поле формы.