eSeGeCe — Componentes de comunicação de nível empresarial para Delphi e .NET
DESTAQUE · sgcSign

Assine documentos. Assine código. Comprove.

XAdES para XML, PAdES para PDF, CAdES para CMS e contêineres ASiC para o pacote inteiro. Authenticode, ClickOnce, NuGet e VSIX para o que você distribui. A partir de um componente nativo Delphi, C++Builder ou .NET, ou a partir do sgcSign Server via REST, com o mesmo motor de assinatura por trás dos dois.

  • Níveis ETSI de B-B a B-LTA
  • 10 provedores de chave
  • 21 perfis por país
  • Carimbo de tempo RFC 3161
sgcSign

A suíte de assinatura digital do Delphi 7 ao RAD Studio 13, C++Builder e .NET. Documentos, código e um servidor de assinatura auto-hospedado, com código-fonte completo e implantação sem royalties.

Visão geral do produto Ver preços →

Documentos de um lado, código do outro

Os mesmos provedores de chave, o mesmo cliente de carimbo de tempo e o mesmo pipeline de validação assinam uma fatura espanhola e um instalador Windows. Aprenda a API uma vez e aplique em todo lugar.

As quatro famílias de assinatura ETSI

Todo formato suporta os quatro níveis de conformidade AdES, então você pode começar em B-B e promover para B-LTA quando as regras de arquivamento exigirem.

XAdES

ETSI EN 319 132. Assinaturas XML nos modos enveloped, detached e enveloping. O formato por trás da fatura eletrônica e dos contratos de trabalho da UE.

PAdES

ETSI EN 319 142. Assinaturas embutidas no próprio PDF, com aparência visível que carrega nome do signatário, motivo, local e contato. Compatível com o Adobe Acrobat.

CAdES

ETSI EN 319 122. Assinaturas binárias CMS / PKCS#7 sobre qualquer arquivo ou stream, detached ou attached.

ASiC-S / ASiC-E

ETSI EN 319 162. Um contêiner ZIP que empacota os documentos com a sua assinatura XAdES ou CAdES. Simple para um documento, Extended para um manifesto e vários.

Níveis baseline
B-B básico B-T carimbo de tempo B-LT longo prazo B-LTA arquivamento

Tudo o que você entrega a um cliente

A assinatura de código passa pelo sgcSign Server, então a chave privada fica em um só lugar e os seus agentes de build nunca a tocam.

Authenticode

Arquivos PE do Windows: .exe, .dll, .sys, .ocx, .cpl e .scr. SHA-256 por padrão, mais SHA-1, SHA-384 e SHA-512. Assinaturas duplas aninhadas mantêm os verificadores legados felizes.

ClickOnce

Assine arquivos .application e .manifest para que os clientes Windows instalem o seu app sem aviso de confiança.

NuGet

Assine pacotes .nupkg para que o cliente NuGet valide a identidade do publicador. Assinaturas de autor e de repositório são ambas suportadas.

VSIX

Assine pacotes de extensão do Visual Studio para que o Marketplace e a IDE os aceitem como confiáveis.

Aplicado a todo artefato
SHA-256 padrão Carimbo RFC 3161 Assinatura dupla Modo somente hash

Arquivos locais, tokens de hardware, KMS na nuvem

Todo provedor implementa a mesma interface IsgcKeyProvider, então um signatário funciona com qualquer fonte de chave sem modificação. Migrar de um arquivo PFX para o AWS KMS significa trocar um componente.

PFX / PKCS#12

TsgcPFXKeyProvider

Arquivos de chave locais protegidos por senha. CNG nativo do Windows, sem necessidade de DLL do OpenSSL.

Arquivos PEM

TsgcPEMKeyProvider

Certificados PEM e chaves PKCS#8 criptografadas, com descriptografia nativa PBES2 / PBKDF2 / AES-CBC.

Repositório de certificados do Windows

TsgcWindowsCertStoreProvider

Repositórios da máquina local e do usuário atual, direto na sua configuração de PKI do Windows e Active Directory.

Tokens de hardware PKCS#11

TsgcPKCS11Provider

Smart cards e HSMs sobre a interface padrão PKCS#11, incluindo SafeNet, YubiKey e Nitrokey.

Azure Trusted Signing

TsgcAzureTrustedSigningProvider

O serviço de assinatura qualificada da Microsoft com credenciais de cliente OAuth2. As chaves privadas nunca saem do Azure.

AWS KMS

TsgcAWSKMSKeyProvider

As chaves ficam no AWS Key Management Service. O hash do documento vai, a assinatura bruta volta.

Google Cloud KMS

TsgcGCloudKMSKeyProvider

Autenticação por conta de serviço contra chaves hospedadas no Google Cloud Key Management.

HashiCorp Vault

TsgcHashiCorpVaultKeyProvider

O motor de assinatura transit do Vault. Os hashes viajam por uma API REST autenticada, as chaves ficam dentro do Vault.

Certum SimplySign

TsgcCertumSimplySignProvider

Provedor polonês de assinatura eletrônica qualificada. Assinatura remota na nuvem para KSeF, ZUS e outros portais públicos.

CSC v2

TsgcCSCKeyProvider

Cliente genérico Cloud Signature Consortium v2 para QTSPs remotos, incluindo Universign, D-Trust sign-me, A-Trust, FNMT Cl@ve Firma, Evrotrust e Intesi Group.

Troque o provedor, mantenha o signatário. Os dez provedores em detalhe →

21 perfis por país pré-configurados

Cada perfil pré-ajusta algoritmo de hash, canonicalização, nível de assinatura, carimbo de tempo e política de revogação OCSP para a jurisdição de destino. Trocar de país é uma mudança de uma linha.

Perfis de fatura eletrônica (12)

Espanha VeriFactu (AEAT) Espanha, País Basco TicketBAI Espanha Facturae 3.x / FACe Itália FatturaPA (SDI) Portugal SAF-T PT Polônia KSeF França / Alemanha Factur-X / ZUGFeRD Romênia e-Factura (ANAF) Hungria NAV Online Croácia Fiskalizacija Bélgica & Bulgária Peppol UBL Grécia myDATA (AADE)

Perfis de contrato de trabalho da UE (9)

Alemanha B-LT Itália B-LT Espanha B-T França B-T Áustria B-LT Bélgica B-LT Portugal B-LT Países Baixos B-T Polônia B-T

Formatos alinhados com o eIDAS

Os perfis miram o nível AdES ou QES que cada estado-membro espera, com o hash, a canonicalização, o carimbo de tempo e a política de revogação já definidos. A Alemanha pede uma assinatura qualificada sob o § 126a BGB, a Espanha aceita AdES para SEPE e TGSS, a Polônia passa pelo Profil Zaufany ou por um certificado qualificado para o ZUS. O perfil codifica essas diferenças, o seu código não.

Validação e prova de longo prazo

O TsgcEUTrustList analisa a List of Trusted Lists da ETSI TS 119 612 e as Trusted Lists de cada estado-membro, então qualquer certificado X.509 pode ser classificado contra o registro vivo da UE. O TsgcTSAClient adiciona carimbos de tempo RFC 3161 que promovem uma assinatura a B-T, B-LT e B-LTA, e cada verificação emite um relatório de validação XML padronizado ETSI TS 119 102-2.

Ver todos os 21 perfis →

Assinatura centralizada para o seu parque de build

Um daemon de assinatura auto-hospedado com API REST, admin web em Bootstrap e instalador de serviço Windows. Os agentes de build pedem uma assinatura, o provedor de chave assina, e o material da chave nunca cai em um runner.

  1. Compilar

    Seu pipeline compila o artefato em qualquer agente, Windows ou Linux.

  2. Pedir uma assinatura

    O agente chama POST /api/v1/sign sobre TLS com uma chave de API bearer e um cabeçalho X-Project.

  3. O HSM ou KMS assina

    O servidor alcança o provedor de chave configurado. As chaves privadas ficam no HSM, no Azure, AWS, Google Cloud ou Vault.

  4. O artefato assinado volta

    O binário assinado volta em streaming direto para o agente, com o subject do signatário e a duração nos cabeçalhos de resposta.

  5. Carimbado e auditado

    Um carimbo de tempo RFC 3161 é aplicado e a operação vai para um log de auditoria encadeado por hash SHA-256, com métricas Prometheus e webhooks assinados com HMAC.

GitHub Actions Azure DevOps Jenkins Docker Helm chart Serviço Windows Projetos multi-tenant Aprovação em duas etapas

Authenticode, ClickOnce, NuGet, VSIX, XAdES, PAdES e CAdES compartilham o mesmo formato de endpoint. Visão geral do sgcSign Server →

Assine um PDF, em processo ou via REST

A mesma assinatura PAdES, produzida de três formas. Escolha o componente quando o app assina, escolha o servidor quando o pipeline assina.

// PAdES with a visible signature and an RFC 3161 timestamp
var
  vKeyProvider: TsgcPFXKeyProvider;
  vSigner: TsgcPAdESSigner;
  vTSA: TsgcTSAClient;
begin
  vKeyProvider := TsgcPFXKeyProvider.Create(nil);
  vSigner := TsgcPAdESSigner.Create(nil);
  vTSA := TsgcTSAClient.Create(nil);
  try
    vKeyProvider.FileName := 'certificate.pfx';
    vKeyProvider.Password := 'secret';
    vKeyProvider.LoadFromFile;

    vTSA.URL := 'https://freetsa.org/tsr';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.TSAClient := vTSA;
    vSigner.Reason := 'Approved';
    vSigner.Location := 'Madrid, Spain';
    vSigner.VisibleSignature.Enabled := True;
    vSigner.SignPDF('contract.pdf', 'contract-signed.pdf');
  finally
    vTSA.Free;
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;
# PAdES-sign contract.pdf through sgcSign Server
curl -X POST https://sign.example.com/api/v1/sign/pades \
  -H "Authorization: Bearer $TOKEN" \
  -H "X-Project: production" \
  -F "file=@./contract.pdf" \
  -o contract-signed.pdf

# Headers returned by the server
# X-Sgcsign-Signer-Subject: CN=ACME Corp, O=ACME, C=US
# X-Sgcsign-Duration-Ms: 312
name: Sign Release
on: [push]

jobs:
  sign:
    runs-on: windows-latest
    steps:
      - uses: esegece/sgcsign-action@v1
        with:
          server: https://sign.acme.local
          project: acme-release
          file: myapp.exe
          format: authenticode

Mesmo motor, mesmos provedores de chave, mesmos perfis por país. Início rápido →

Seis bibliotecas, uma caixa de ferramentas

O sgcSign é uma das seis bibliotecas de componentes eSeGeCe para Delphi, C++Builder e .NET. Elas compartilham convenções, vêm com código-fonte completo e são implantadas sem royalties.

sgcSign

XAdES, PAdES, CAdES e ASiC para documentos, Authenticode, ClickOnce, NuGet e VSIX para código. Dez provedores de chave, 21 perfis por país, mais o sgcSign Server.

Saiba mais →

sgcWebSockets

WebSocket, HTTP/2, HTTP/3, MQTT, AMQP, WebRTC, IA e 30+ integrações de API. Assine payloads WebSocket e MQTT com o mesmo motor de assinatura.

Saiba mais →

sgcHTML

Componentes HTML e de UI server-side construídos sobre Bootstrap 5 e htmx. Dê a um fluxo de assinatura um front end web sem uma stack JavaScript para manter.

Saiba mais →

sgcOpenAPI

Analisador OpenAPI 3.x, gerador de SDK Pascal e servidor OpenAPI, mais de 1.195 SDKs pré-compilados para AWS, Azure, Google Cloud e Microsoft Graph.

Saiba mais →

sgcBiometrics

Windows Hello, sensores de impressão digital e o Windows Biometric Framework. Desbloqueie uma chave de assinatura com a impressão digital antes de o signatário rodar.

Saiba mais →

sgcIndy

Componentes Indy TCP/IP atualizados com TLS moderno, IPv6 e HTTP/2, do Delphi 7 ao 13. Transporte confiável para TSAs, respondedores OCSP e verificadores da UE.

Saiba mais →

Uma assinatura cobre o conjunto inteiro. Ver preços ou pegue a avaliação gratuita do sgcWebSockets.

O Que os Desenvolvedores Dizem

Confiado por desenvolvedores Delphi, C++ Builder, Lazarus e .NET ao redor do mundo.

Muito obrigado pela ajuda e pelo suporte, eu adoro os componentes de vocês.
Mark Steinfeld CTO
O sgcWebSockets é incrível e o suporte de vocês é o melhor!
Christian Meyer Fundador & CTO
A biblioteca sgcWebSockets de vocês é muito útil e fácil de configurar. Continuem com o ótimo trabalho!
Simone Moretti Desenvolvedor Delphi

Você está vendo a visão Assinar & Cumprir da eSeGeCe.

Mostre outro ângulo →
Garantia de reembolso de 30 diasNão ficou satisfeito? Solicite o reembolso total em até 30 dias após a compra. Ver política de reembolso

Entregue assinaturas em conformidade com o eIDAS hoje

Adicione assinatura XAdES, PAdES, CAdES e ASiC à sua aplicação Delphi, C++Builder ou .NET, ou suba um serviço de assinatura centralizado para o seu parque de build.