eSeGeCe — Enterprise-Kommunikationskomponenten für Delphi & .NET
IM FOKUS · sgcSign

Dokumente signieren. Code signieren. Beweisen.

XAdES für XML, PAdES für PDF, CAdES für CMS und ASiC-Container für das ganze Bündel. Authenticode, ClickOnce, NuGet und VSIX für alles, was du ausliefert. Aus einer nativen Delphi-, C++Builder- oder .NET-Komponente heraus, oder über sgcSign Server per REST, mit derselben Signatur-Engine hinter beidem.

  • ETSI-Level B-B bis B-LTA
  • 10 Schlüsselanbieter
  • 21 Länderprofile
  • RFC 3161-Zeitstempel
sgcSign

Die Digitalsignatur-Suite für Delphi 7 bis RAD Studio 13, C++Builder und .NET. Dokumente, Code und ein selbst gehosteter Signatur-Server, mit vollem Quellcode und royaltyfreier Bereitstellung.

Produktübersicht Preise ansehen →

Dokumente auf der einen Seite, Code auf der anderen

Dieselben Schlüsselanbieter, derselbe Zeitstempel-Client und dieselbe Validierungs-Pipeline signieren eine spanische Rechnung und einen Windows-Installer. Lerne die API einmal und wende sie überall an.

Die vier ETSI-Signaturfamilien

Jedes Format unterstützt alle vier AdES-Konformitätsstufen, du kannst also bei B-B starten und auf B-LTA hochstufen, sobald die Archivierungsregeln es verlangen.

XAdES

ETSI EN 319 132. XML-Signaturen in den Modi enveloped, detached und enveloping. Das Format hinter E-Rechnung und EU-Arbeitsverträgen.

PAdES

ETSI EN 319 142. Signaturen direkt im PDF eingebettet, mit sichtbarer Darstellung von Signierername, Grund, Ort und Kontakt. Kompatibel mit Adobe Acrobat.

CAdES

ETSI EN 319 122. Binäre CMS- / PKCS#7-Signaturen über jede Datei oder jeden Stream, detached oder attached.

ASiC-S / ASiC-E

ETSI EN 319 162. Ein ZIP-Container, der die Dokumente mit ihrer XAdES- oder CAdES-Signatur bündelt. Simple für ein Dokument, Extended für ein Manifest plus viele.

Baseline-Level
B-B einfach B-T Zeitstempel B-LT Langzeit B-LTA Archivierung

Alles, was du an einen Kunden ausliefert

Die Code-Signierung läuft über sgcSign Server, so liegt der private Schlüssel an einem einzigen Ort und deine Build-Agenten fassen ihn nie an.

Authenticode

Windows-PE-Dateien: .exe, .dll, .sys, .ocx, .cpl und .scr. SHA-256 standardmäßig, dazu SHA-1, SHA-384 und SHA-512. Verschachtelte Doppelsignaturen halten alte Prüfprogramme glücklich.

ClickOnce

Signiere .application- und .manifest-Dateien, damit Windows-Clients deine App ohne Vertrauensabfrage installieren.

NuGet

Signiere .nupkg-Pakete, damit der NuGet-Client die Herausgeber-Identität prüfen kann. Author- und Repository-Signaturen werden beide unterstützt.

VSIX

Signiere Visual-Studio-Erweiterungspakete, damit Marketplace und IDE sie als vertrauenswürdig akzeptieren.

Auf jedes Artefakt angewendet
SHA-256 Standard RFC 3161-Zeitstempel Doppelsignierung Hash-only-Modus

Lokale Dateien, Hardware-Token, Cloud-KMS

Jeder Anbieter implementiert dieselbe IsgcKeyProvider-Schnittstelle, ein Signierer arbeitet also ohne Änderung mit jeder Schlüsselquelle. Der Wechsel von einer PFX-Datei zu AWS KMS bedeutet, eine Komponente zu tauschen.

PFX / PKCS#12

TsgcPFXKeyProvider

Lokale passwortgeschützte Schlüsseldateien. Natives Windows CNG, keine OpenSSL-DLL nötig.

PEM-Dateien

TsgcPEMKeyProvider

PEM-Zertifikate und verschlüsselte PKCS#8-Schlüssel, mit nativer PBES2- / PBKDF2- / AES-CBC-Entschlüsselung.

Windows-Zertifikatspeicher

TsgcWindowsCertStoreProvider

Speicher für lokalen Computer und aktuellen Benutzer, direkt in deine Windows-PKI und Active-Directory-Umgebung hinein.

PKCS#11-Hardware-Token

TsgcPKCS11Provider

Smartcards und HSMs über die Standard-PKCS#11-Schnittstelle, darunter SafeNet, YubiKey und Nitrokey.

Azure Trusted Signing

TsgcAzureTrustedSigningProvider

Microsofts qualifizierter Signaturdienst mit OAuth2 Client Credentials. Private Schlüssel verlassen Azure nie.

AWS KMS

TsgcAWSKMSKeyProvider

Schlüssel bleiben im AWS Key Management Service. Der Dokument-Hash geht raus, die rohe Signatur kommt zurück.

Google Cloud KMS

TsgcGCloudKMSKeyProvider

Service-Account-Authentifizierung gegen Schlüssel, die in Google Cloud Key Management liegen.

HashiCorp Vault

TsgcHashiCorpVaultKeyProvider

Die Transit-Signatur-Engine von Vault. Hashes reisen über eine authentifizierte REST API, Schlüssel bleiben in Vault.

Certum SimplySign

TsgcCertumSimplySignProvider

Qualifizierter polnischer E-Signatur-Anbieter. Cloud-Fernsignatur für KSeF, ZUS und andere öffentliche Portale.

CSC v2

TsgcCSCKeyProvider

Generischer Cloud-Signature-Consortium-v2-Client für entfernte QTSPs, darunter Universign, D-Trust sign-me, A-Trust, FNMT Cl@ve Firma, Evrotrust und Intesi Group.

Tausche den Anbieter, behalte den Signierer. Alle zehn Anbieter im Detail →

21 vorkonfigurierte Länderprofile

Jedes Profil stimmt Hash-Algorithmus, Kanonisierung, Signaturlevel, Zeitstempel und OCSP-Sperrrichtlinie im Voraus auf die Zieljurisdiktion ab. Das Land zu wechseln ist eine Änderung in einer Zeile.

E-Rechnungs-Profile (12)

Spanien VeriFactu (AEAT) Spanien, Baskenland TicketBAI Spanien Facturae 3.x / FACe Italien FatturaPA (SDI) Portugal SAF-T PT Polen KSeF Frankreich / Deutschland Factur-X / ZUGFeRD Rumänien e-Factura (ANAF) Ungarn NAV Online Kroatien Fiskalizacija Belgien & Bulgarien Peppol UBL Griechenland myDATA (AADE)

EU-Arbeitsvertrags-Profile (9)

Deutschland B-LT Italien B-LT Spanien B-T Frankreich B-T Österreich B-LT Belgien B-LT Portugal B-LT Niederlande B-T Polen B-T

Formate im Einklang mit eIDAS

Die Profile zielen auf das AdES- oder QES-Level, das der jeweilige Mitgliedstaat erwartet, mit bereits gesetztem Hash, Kanonisierung, Zeitstempel und Sperrrichtlinie. Deutschland verlangt eine qualifizierte Signatur nach § 126a BGB, Spanien akzeptiert AdES für SEPE und TGSS, Polen läuft über Profil Zaufany oder ein qualifiziertes Zertifikat für ZUS. Das Profil kodiert diese Unterschiede, dein Code nicht.

Validierung und Langzeitnachweis

TsgcEUTrustList parst die List of Trusted Lists nach ETSI TS 119 612 sowie die Trusted Lists der einzelnen Mitgliedstaaten, sodass jedes X.509-Zertifikat gegen das aktuelle EU-Register eingeordnet werden kann. TsgcTSAClient fügt RFC 3161-Zeitstempel hinzu, die eine Signatur auf B-T, B-LT und B-LTA hochstufen, und jede Prüfung erzeugt einen standardisierten XML-Validierungsbericht nach ETSI TS 119 102-2.

Alle 21 Profile durchsehen →

Zentralisiertes Signieren für deine Build-Farm

Ein selbst gehosteter Signatur-Daemon mit REST API, einer Bootstrap-Weboberfläche für die Verwaltung und einem Windows-Service-Installer. Build-Agenten fragen eine Signatur an, der Schlüsselanbieter signiert, und das Schlüsselmaterial landet nie auf einem Runner.

  1. Bauen

    Deine Pipeline kompiliert das Artefakt auf einem beliebigen Agenten, Windows oder Linux.

  2. Signatur anfragen

    Der Agent ruft POST /api/v1/sign über TLS auf, mit einem Bearer-API-Schlüssel und einem X-Project-Header.

  3. HSM oder KMS signiert

    Der Server erreicht den konfigurierten Schlüsselanbieter. Private Schlüssel bleiben im HSM, in Azure, AWS, Google Cloud oder Vault.

  4. Signiertes Artefakt kommt zurück

    Die signierte Binärdatei streamt direkt zurück zum Agenten, mit Signierer-Subject und Dauer in den Response-Headern.

  5. Zeitgestempelt und auditiert

    Ein RFC 3161-Zeitstempel wird angewendet und der Vorgang landet in einem SHA-256-hash-verketteten Audit-Log, mit Prometheus-Metriken und HMAC-signierten Webhooks.

GitHub Actions Azure DevOps Jenkins Docker Helm-Chart Windows-Dienst Mandantenfähige Projekte Zweistufige Freigabe

Authenticode, ClickOnce, NuGet, VSIX, XAdES, PAdES und CAdES nutzen alle dieselbe Endpunkt-Form. sgcSign Server-Übersicht →

Ein PDF signieren, im Prozess oder über REST

Dieselbe PAdES-Signatur, auf drei Wegen erzeugt. Nimm die Komponente, wenn die App signiert, nimm den Server, wenn die Pipeline signiert.

// PAdES with a visible signature and an RFC 3161 timestamp
var
  vKeyProvider: TsgcPFXKeyProvider;
  vSigner: TsgcPAdESSigner;
  vTSA: TsgcTSAClient;
begin
  vKeyProvider := TsgcPFXKeyProvider.Create(nil);
  vSigner := TsgcPAdESSigner.Create(nil);
  vTSA := TsgcTSAClient.Create(nil);
  try
    vKeyProvider.FileName := 'certificate.pfx';
    vKeyProvider.Password := 'secret';
    vKeyProvider.LoadFromFile;

    vTSA.URL := 'https://freetsa.org/tsr';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.TSAClient := vTSA;
    vSigner.Reason := 'Approved';
    vSigner.Location := 'Madrid, Spain';
    vSigner.VisibleSignature.Enabled := True;
    vSigner.SignPDF('contract.pdf', 'contract-signed.pdf');
  finally
    vTSA.Free;
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;
# PAdES-sign contract.pdf through sgcSign Server
curl -X POST https://sign.example.com/api/v1/sign/pades \
  -H "Authorization: Bearer $TOKEN" \
  -H "X-Project: production" \
  -F "file=@./contract.pdf" \
  -o contract-signed.pdf

# Headers returned by the server
# X-Sgcsign-Signer-Subject: CN=ACME Corp, O=ACME, C=US
# X-Sgcsign-Duration-Ms: 312
name: Sign Release
on: [push]

jobs:
  sign:
    runs-on: windows-latest
    steps:
      - uses: esegece/sgcsign-action@v1
        with:
          server: https://sign.acme.local
          project: acme-release
          file: myapp.exe
          format: authenticode

Dieselbe Engine, dieselben Schlüsselanbieter, dieselben Länderprofile. Schnellstart →

Sechs Bibliotheken, ein Werkzeugkasten

sgcSign ist eine von sechs eSeGeCe-Komponentenbibliotheken für Delphi, C++Builder und .NET. Sie teilen dieselben Konventionen, kommen mit vollem Quellcode und werden royaltyfrei bereitgestellt.

sgcSign

XAdES, PAdES, CAdES und ASiC für Dokumente, Authenticode, ClickOnce, NuGet und VSIX für Code. Zehn Schlüsselanbieter, 21 Länderprofile, dazu sgcSign Server.

Mehr erfahren →

sgcWebSockets

WebSocket, HTTP/2, HTTP/3, MQTT, AMQP, WebRTC, KI und 30+ API-Integrationen. Signiere WebSocket- und MQTT-Payloads mit derselben Signatur-Engine.

Mehr erfahren →

sgcHTML

Serverseitige HTML- und UI-Komponenten auf Basis von Bootstrap 5 und htmx. Gib einem Signatur-Workflow eine Weboberfläche, ohne einen JavaScript-Stack pflegen zu müssen.

Mehr erfahren →

sgcOpenAPI

OpenAPI-3.x-Parser, Pascal-SDK-Generator und OpenAPI-Server sowie 1.195+ vorgefertigte SDKs für AWS, Azure, Google Cloud und Microsoft Graph.

Mehr erfahren →

sgcBiometrics

Windows Hello, Fingerabdrucksensoren und das Windows Biometric Framework. Entsperre einen Signaturschlüssel per Fingerabdruck, bevor der Signierer läuft.

Mehr erfahren →

sgcIndy

Aktualisierte Indy TCP/IP-Komponenten mit modernem TLS, IPv6 und HTTP/2 für Delphi 7 bis 13. Vertrauenswürdiger Transport zu TSAs, OCSP-Respondern und EU-Prüfern.

Mehr erfahren →

Ein Abo deckt das gesamte Set ab. Preise ansehen oder hol dir die kostenlose sgcWebSockets-Testversion.

Was Entwickler sagen

Vertrauen von Delphi-, C++ Builder-, Lazarus- und .NET-Entwicklern weltweit.

Vielen Dank für eure Hilfe und Unterstützung, ich liebe eure Komponenten.
Mark Steinfeld CTO
sgcWebSockets ist großartig und euer Support ist der beste!
Christian Meyer Gründer & CTO
Eure sgcWebSockets-Bibliothek ist sehr nützlich und einfach einzurichten. Macht weiter so!
Simone Moretti Delphi-Entwickler

Du siehst gerade die Ansicht Signieren & Compliance von eSeGeCe.

Zeig mir eine andere Perspektive →
30 Tage Geld-zurück-GarantieNicht zufrieden? Fordern Sie innerhalb von 30 Tagen nach dem Kauf eine vollständige Rückerstattung an. Rückerstattungsrichtlinie ansehen

Liefere noch heute eIDAS-konforme Signaturen

Füge deiner Delphi-, C++Builder- oder .NET-Anwendung XAdES-, PAdES-, CAdES- und ASiC-Signierung hinzu, oder stelle einen zentralen Signaturdienst für deine Build-Farm bereit.