sgcSign

Digitale Signatur-Suite auf Unternehmensniveau für Delphi, C++Builder und .NET. Erzeugt XAdES-, PAdES-, CAdES- und ASiC-Signaturen von 10 Schlüsselanbietern und 21 vorkonfigurierten Länderprofilen — verfügbar als In-Process-Komponentenbibliothek oder als selbst gehosteter Remote-Signing-Daemon für Build-Farmen.

XAdES / PAdES / CAdES / ASiC
10 Schlüsselanbieter
21 Länderprofile
EU eIDAS-konform
ZWEI FORMFAKTOREN, EINE ENGINE

Bibliothek oder Server — derselbe Signing-Kern

sgcSign wird in zwei sich ergänzenden Formfaktoren ausgeliefert, die sich dieselbe Signing-Engine, Schlüsselanbieter und Länderprofile teilen. Wähl die eingebettete Bibliothek, den zentralisierten Server oder beides zusammen.

sgcSign Komponenten-Bibliothek

Drop-in Delphi- / C++Builder- / .NET-Komponenten, die XAdES-, PAdES-, CAdES- und ASiC-Signaturen direkt in deiner Anwendung erzeugen. Native CNG/BCrypt-Kryptografie, keine externen DLLs, vollständiger Quellcode enthalten.

Funktionen der Bibliothek →

sgcSign Server

Selbst gehosteter Remote-Signing-Daemon — REST API, Bootstrap-Web-Admin, Windows-Service-Installer. Ergänzt zu Dokumentformaten auch Authenticode-, ClickOnce-, NuGet- und VSIX-Signierung. Fertige GitHub Actions-, Azure DevOps-, Jenkins-, Docker- und Helm-Pipelines.

Server-Übersicht →
SIGNATUR-STANDARDS

Jedes ETSI-Format, B-B bis B-LTA

Volle Abdeckung der vier ETSI-Signaturfamilien plus Microsoft Authenticode für PE-Binärdateien. Alle vier AdES-Stufen unterstützt.

</>

XAdES

ETSI EN 319 132 — XML Advanced Electronic Signatures

Enveloped-, Detached- und Enveloping-Signaturen über XML. Stufen B-B / B-T / B-LT / B-LTA. Polnische, spanische und deutsche Diakritika werden über WideString-Überladungen ab Delphi 7+ verlustfrei verarbeitet.

PAdES

ETSI EN 319 142 — PDF Advanced Electronic Signatures

Bette digitale Signaturen in PDF-Dokumente ein. Sichtbare Signaturdarstellung mit Unterzeichnername, Grund, Ort, Kontaktinformationen und konfigurierbarem Rechteck. Kompatibel mit Adobe Acrobat.

CAdES

ETSI EN 319 122 — CMS/PKCS#7 Advanced Electronic Signatures

CMS/PKCS#7-Binärsignaturen über beliebige Dateien oder Datenströme. Detached- und Attached-Formen. Konformitätsstufen BES, T und XL.

ASiC-S / ASiC-E

ETSI EN 319 162 — Associated Signature Containers

Bündle ein oder mehrere Dokumente zusammen mit der zugehörigen XAdES- oder CAdES-Signatur in einem einzigen ZIP-Archiv. Simple (ein Dokument) oder Extended (Manifest + mehrere Dokumente).

Authenticode + ClickOnce + NuGet + VSIX

Code-Signierung — sgcSign Server

Signiere Windows-PE-Dateien (.exe, .dll, .sys, .ocx), ClickOnce-Manifeste, NuGet-Pakete und VSIX-Bundles. SHA-256 (Standard), SHA-384, SHA-512 und Dual-Signing für Legacy-Kompatibilität.

10 SCHLÜSSELANBIETER

Lokale Dateien, Hardware-Tokens, Cloud-KMS

Jeder Anbieter implementiert dasselbe IsgcKeyProvider-Interface, sodass Signierer mit jeder Schlüsselquelle ohne Anpassung funktionieren. Wechsle mit dem Austausch einer einzigen Komponente von einer PFX-Datei zu AWS KMS.

PFX / PKCS#12

TsgcPFXKeyProvider

Lokale passwortgeschützte PFX-Dateien. Native Windows CNG-Unterstützung; keine OpenSSL-DLL erforderlich.

PEM-Dateien

TsgcPEMKeyProvider

PEM-kodierte Zertifikate und verschlüsselte PKCS#8-Privatschlüssel. Native PBES2- / PBKDF2- / AES-CBC-Entschlüsselung — keine externe Bibliothek erforderlich.

Windows-Zertifikatspeicher

TsgcWindowsCertStoreProvider

Zertifikatspeicher des lokalen Computers und des aktuellen Benutzers. Nahtlose Integration mit Windows-PKI und Active Directory.

PKCS#11-Hardware-Tokens

TsgcPKCS11Provider

Smartcards und HSMs über die standardisierte PKCS#11-Schnittstelle — SafeNet, YubiKey, Nitrokey und jeder Hersteller mit einem PKCS#11-Treiber.

Azure Trusted Signing

TsgcAzureTrustedSigningProvider

Microsofts qualifizierter Signaturdienst. OAuth2-Client-Credentials, Privatschlüssel verlassen Azure nie. Unterscheidet sich von Azure Key Vault.

AWS KMS

TsgcAWSKMSKeyProvider

AWS Key Management Service. Signiere mit in AWS gehaltenen Schlüsseln; gesendet wird der Dokument-Hash, zurück kommt die Rohsignatur.

Google Cloud KMS

TsgcGCloudKMSKeyProvider

Google Cloud Key Management. Service-Account-Authentifizierung mit in Google Cloud gehosteten Schlüsseln.

HashiCorp Vault

TsgcHashiCorpVaultKeyProvider

Vault Transit-Signing-Engine. Schlüssel bleiben in Vault; Dokument-Hashes werden über eine authentifizierte REST API gesendet.

Certum SimplySign

TsgcCertumSimplySignProvider

Qualifizierter polnischer E-Signaturanbieter. Cloudbasiertes Remote-Signing für KSeF, ZUS und weitere polnische Verwaltungsportale.

CSC v2 (Cloud Signature Consortium)

TsgcCSCKeyProvider

Generischer CSC v2-Client für Remote-QTSPs — Universign, D-Trust sign-me, A-Trust, FNMT Cl@ve Firma, Evrotrust, Intesi Group und mehr.

21 VORKONFIGURIERTE LÄNDERPROFILE

Europäische E-Rechnung & Arbeitsverträge

Jedes Profil stimmt Hash-Algorithmus, Kanonisierung, Signaturstufe, Zeitstempel und OCSP-Sperrlistenrichtlinie vorab auf die Regulierungsbehörde des Ziellandes ab. Wechsle die Jurisdiktion mit einer einzigen Zeile.

E-Rechnungs-Profile (12)

Profil Land System Format Stufe
spVeriFactuSpanienVeriFactu (AEAT)XAdES-EPESB-B
spTicketBAISpanien (Baskenland)TicketBAIXAdES-EPESB-B
spFacturaeB2BSpanienFacturae 3.x / FACeXAdES-EPESB-T
spFatturaPAItalienFatturaPA (SDI)XAdES-BESB-B
spSAFTPTPortugalSAF-T PTRSA-SHA256B-B
spKSeFPolenKSeF (Krajowy System e-Faktur)XAdESB-T
spFacturXFrankreich / DeutschlandFactur-X / ZUGFeRDXAdESB-B
spEFacturaRumäniene-Factura (ANAF)XAdESB-T
spNAVOnlineUngarnNAV OnlineXML-DSigB-B
spFiskalizacijaKroatienFiskalizacijaXML-DSigB-B
spPeppolBE / spPeppolBGEU (Belgien, Bulgarien)Peppol UBL 2.xXAdESB-T
spMyDATAGriechenlandmyDATA (AADE)XAdESB-B

EU-Arbeitsvertrags-Profile (9)

eIDAS-konforme Signaturen für die arbeitsrechtlichen Anforderungen der Mitgliedstaaten an Arbeitsverträge. Vorab abgestimmt auf AdES- / QES-Stufe, Hash, Kanonisierung, Zeitstempel und OCSP-Sperrlistenrichtlinie der jeweiligen Jurisdiktion. Wird von Arbeitsverwaltungs-Prüfern akzeptiert.

Deutschland — spEmploymentDE

Stufe B-LT, QES erforderlich nach § 126a BGB für Verträge in Schriftform (z. B. Befristung > 24 Monate, nachvertragliches Wettbewerbsverbot).

Italien — spEmploymentIT

Stufe B-LT, qualifizierte FEQ-Signatur. CAdES (.p7m) weit verbreitet; XAdES akzeptiert. INPS-Portale nutzen beides.

Spanien — spEmploymentES

Stufe B-T, AdES ausreichend. SEPE- / TGSS-Portale erfordern ein FNMT- oder DNIe-Zertifikat; CRL über die FNMT-Vertrauensliste.

Frankreich — spEmploymentFR

Stufe B-T, AdES in Ordnung. QES bevorzugt für Remote-Signing-Workflows unter DSP2 / RGS.

Österreich — spEmploymentAT

Stufe B-LT. QES über Handy-Signatur / ID Austria verbreitet.

Belgien — spEmploymentBE

Stufe B-LT. QES über eID-Karte (BeID).

Portugal — spEmploymentPT

Stufe B-LT. QES über Cartão do Cidadão / Chave Móvel Digital.

Niederlande — spEmploymentNL

Stufe B-T. AdES allgemein akzeptiert; QES für einige HR-Portale (UWV).

Polen — spEmploymentPL

Stufe B-T. QES über Profil Zaufany oder qualifiziertes Zertifikat, wenn der Vertrag an ZUS / PUE geht.

VALIDIERUNG & VERTRAUEN

EU-Trust List, ETSI-Validierungsberichte & LTV

sgcSign verifiziert Signaturen genauso, wie die EU sie verifiziert — gegen die Live-LOTL, mit einem standardisierten XML-Bericht, den Arbeitsgerichte und Verwaltungen als rechtskräftigen Nachweis akzeptieren.

Signaturprüfung mit LTV

Vollständige Validierungs-Pipeline — Digest-Prüfungen, RSA-/ECDSA-Signaturverifikation, Zertifikatsketten-Validierung, OCSP-Sperrprüfung, eingebettete RevocationValues für Long-Term Validation, ID-basiertes Fragment-Lookup für SignedProperties.

EU-Trust List (LOTL / EUTL)

TsgcEUTrustList parst die ETSI TS 119 612 List of Trusted Lists und ~31 mitgliedstaatliche Trusted Lists. Klassifiziere jedes X.509-Zertifikat als eIDAS-qualifiziert, indem du seinen ausstellenden TSP-Dienst gegen das Live-EU-Register abfragst.

ETSI TS 119 102-2 Validierungsbericht

Standardisierter XML-Validierungsbericht (v1.2.1), der für jede Prüfung erzeugt wird — akzeptiert von EU-Arbeitsgerichten und Verwaltungsprüfern als rechtskräftiger Nachweis der Signaturgültigkeit.

RFC 3161-Zeitstempelung

Eingebauter TsgcTSAClient für jede RFC 3161-Zeitstempel-Authority. Hebt Signaturen auf XAdES-T, XAdES-LT und XAdES-LTA — auch lange nach Ablauf des Signaturzertifikats noch prüfbar.

CODE-BEISPIELE

Von lokaler PFX bis Cloud-KMS — dieselbe API

Eine VeriFactu-Rechnung mit einer lokalen PFX signieren

  • Zertifikat aus PFX mit Passwort laden
  • VeriFactu-Profil automatisch angewendet
  • Ein Methodenaufruf liefert signiertes XML zurück
SignVeriFactu.pas 
// Sign Spanish VeriFactu invoice
var
  vKeyProvider: TsgcPFXKeyProvider;
  vSigner: TsgcDocumentSigner;
begin
  vKeyProvider := TsgcPFXKeyProvider.Create(nil);
  try
    vKeyProvider.FileName := 'certificate.pfx';
    vKeyProvider.Password := 'secret';
    vKeyProvider.LoadFromFile;

    vSigner := TsgcDocumentSigner.Create(nil);
    try
      vSigner.KeyProvider := vKeyProvider;
      vSigner.Profile := spVeriFactu;
      memoSigned.Text := vSigner.SignXML(memoXML.Text);
    finally
      vSigner.Free;
    end;
  finally
    vKeyProvider.Free;
  end;
end;

Eine EXE mit Azure Trusted Signing per Authenticode signieren

  • Keine lokale PFX, kein USB-Token
  • Der Privatschlüssel bleibt in Azure
  • Von Microsoft ausgestelltes Public-Trust-Zertifikat
SignWithAzure.pas 
// Authenticode-sign with Azure Trusted Signing
var
  vKeyProvider: TsgcAzureTrustedSigningProvider;
  vSigner: TsgcAuthenticodeSigner;
begin
  vKeyProvider := TsgcAzureTrustedSigningProvider.Create(nil);
  vSigner := TsgcAuthenticodeSigner.Create(nil);
  try
    vKeyProvider.AccountName := 'my-trusted-signing-account';
    vKeyProvider.CertificateProfileName := 'public-trust';
    vKeyProvider.Endpoint := 'https://eus.codesigning.azure.net';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.SignFile('myapp.exe', 'myapp-signed.exe');
  finally
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;

PAdES-LT — sichtbare Signatur mit Zeitstempel

  • Zertifikat aus dem Windows-Speicher
  • RFC 3161-TSA hebt auf PAdES-T
  • Sichtbare Signatur mit Grund & Ort
SignPDFVisible.pas 
// PAdES-T with visible signature appearance
var
  vKeyProvider: TsgcWindowsCertStoreProvider;
  vSigner: TsgcPAdESSigner;
  vTSA: TsgcTSAClient;
begin
  vKeyProvider := TsgcWindowsCertStoreProvider.Create(nil);
  vSigner := TsgcPAdESSigner.Create(nil);
  vTSA := TsgcTSAClient.Create(nil);
  try
    vKeyProvider.SubjectName := 'CN=Acme Corp';
    vKeyProvider.LoadFromStore;

    vTSA.URL := 'https://freetsa.org/tsr';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.TSAClient := vTSA;
    vSigner.Reason := 'Approved';
    vSigner.Location := 'Madrid, Spain';
    vSigner.VisibleSignature.Enabled := True;
    vSigner.SignPDF('contract.pdf', 'contract-signed.pdf');
  finally
    vTSA.Free;
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;
SGCSIGN SERVER

Zentralisiertes Signieren für deine Build-Farm

Brauchst du zentralisiertes Signieren für deine Build-Pipeline? sgcSign Server kapselt dieselbe Engine hinter einer REST API und einem Bootstrap-Web-Admin — Windows-Service-Installer, fertige GitHub Actions- / Azure DevOps- / Jenkins- / Docker- / Helm-Pipelines, mandantenfähiges Projektmodell, zweistufiger Genehmigungs-Workflow, SHA-256-hash-verketteter Audit-Log, Prometheus-Metriken und HMAC-signierte Webhooks.

  • Authenticode-, ClickOnce-, NuGet-, VSIX-Signierung
  • REST API, Web-Admin, Windows-Service-Installer
  • Alle Funktionen standardmäßig enthalten
Mehr über sgcSign Server erfahren
github-actions.yml 
name: Sign Release
on: [push]

jobs:
  sign:
    runs-on: windows-latest
    steps:
      - uses: esegece/sgcsign-action@v1
        with:
          server: https://sign.acme.local
          project: acme-release
          file: myapp.exe
          format: authenticode

Liefere noch heute eIDAS-konforme Signaturen aus

Füge deiner Delphi-, C++Builder- oder .NET-Anwendung XAdES-, PAdES-, CAdES- und ASiC-Signierung hinzu — oder richte einen zentralisierten Signaturdienst für deine Build-Farm ein.

Kostenlose Testversion herunterladen Preise ansehen