eSeGeCe — Componentes de Comunicación Empresarial para Delphi y .NET
DESTACADO · sgcSign

Firma documentos. Firma código. Demuéstralo.

XAdES para XML, PAdES para PDF, CAdES para CMS y contenedores ASiC para todo el conjunto. Authenticode, ClickOnce, NuGet y VSIX para lo que distribuyes. Desde un componente nativo de Delphi, C++Builder o .NET, o desde sgcSign Server por REST, con el mismo motor de firma detrás de ambos.

  • Niveles ETSI de B-B a B-LTA
  • 10 proveedores de claves
  • 21 perfiles por país
  • Sellado de tiempo RFC 3161
sgcSign

La suite de firma digital para Delphi 7 a RAD Studio 13, C++Builder y .NET. Documentos, código y un servidor de firma autoalojado, con código fuente completo y despliegue libre de royalties.

Visión general del producto Ver precios →

Documentos por un lado, código por el otro

Los mismos proveedores de claves, el mismo cliente de sellado de tiempo y la misma cadena de validación firman una factura española y un instalador de Windows. Aprende la API una vez y aplícala en todas partes.

Las cuatro familias de firma ETSI

Todos los formatos admiten los cuatro niveles de conformidad AdES, así puedes empezar en B-B y promocionar a B-LTA cuando las reglas de archivo lo exijan.

XAdES

ETSI EN 319 132. Firmas XML en modos enveloped, detached y enveloping. El formato detrás de la facturación electrónica y de los contratos laborales de la UE.

PAdES

ETSI EN 319 142. Firmas incrustadas en el propio PDF, con una apariencia visible que muestra el nombre del firmante, el motivo, la ubicación y el contacto. Compatible con Adobe Acrobat.

CAdES

ETSI EN 319 122. Firmas binarias CMS / PKCS#7 sobre cualquier fichero o flujo, detached o attached.

ASiC-S / ASiC-E

ETSI EN 319 162. Un contenedor ZIP que agrupa los documentos con su firma XAdES o CAdES. Simple para un solo documento, Extended para un manifiesto con varios.

Niveles baseline
B-B básico B-T sello de tiempo B-LT largo plazo B-LTA archivado

Todo lo que entregas a un cliente

La firma de código pasa por sgcSign Server, así la clave privada vive en un solo sitio y tus agentes de compilación nunca la tocan.

Authenticode

Ficheros PE de Windows: .exe, .dll, .sys, .ocx, .cpl y .scr. SHA-256 por defecto, además de SHA-1, SHA-384 y SHA-512. Las firmas duales anidadas mantienen contentos a los verificadores antiguos.

ClickOnce

Firma ficheros .application y .manifest para que los clientes Windows instalen tu aplicación sin avisos de confianza.

NuGet

Firma paquetes .nupkg para que el cliente de NuGet pueda validar la identidad del publicador. Se admiten firmas de autor y de repositorio.

VSIX

Firma los paquetes de extensiones de Visual Studio para que el Marketplace y el IDE los acepten como de confianza.

Aplicado a cada artefacto
SHA-256 por defecto Sello de tiempo RFC 3161 Firma dual Modo solo hash

Ficheros locales, tokens hardware, KMS en la nube

Todos los proveedores implementan la misma interfaz IsgcKeyProvider, así un firmante funciona con cualquier origen de claves sin modificaciones. Pasar de un fichero PFX a AWS KMS significa cambiar un solo componente.

PFX / PKCS#12

TsgcPFXKeyProvider

Ficheros de claves locales protegidos con contraseña. CNG nativo de Windows, sin necesidad de DLL de OpenSSL.

Ficheros PEM

TsgcPEMKeyProvider

Certificados PEM y claves PKCS#8 cifradas, con descifrado nativo PBES2 / PBKDF2 / AES-CBC.

Almacén de certificados de Windows

TsgcWindowsCertStoreProvider

Almacenes de máquina local y de usuario actual, directamente sobre tu PKI de Windows y tu configuración de Active Directory.

Tokens hardware PKCS#11

TsgcPKCS11Provider

Tarjetas inteligentes y HSM sobre la interfaz estándar PKCS#11, incluidos SafeNet, YubiKey y Nitrokey.

Azure Trusted Signing

TsgcAzureTrustedSigningProvider

El servicio de firma cualificada de Microsoft con credenciales de cliente OAuth2. Las claves privadas nunca salen de Azure.

AWS KMS

TsgcAWSKMSKeyProvider

Las claves permanecen en AWS Key Management Service. Sale el hash del documento, vuelve la firma en bruto.

Google Cloud KMS

TsgcGCloudKMSKeyProvider

Autenticación con cuenta de servicio contra claves alojadas en Google Cloud Key Management.

HashiCorp Vault

TsgcHashiCorpVaultKeyProvider

El motor de firma transit de Vault. Los hashes viajan por una API REST autenticada y las claves se quedan dentro de Vault.

Certum SimplySign

TsgcCertumSimplySignProvider

Proveedor polaco de firma electrónica cualificada. Firma remota en la nube para KSeF, ZUS y otros portales públicos.

CSC v2

TsgcCSCKeyProvider

Cliente genérico de Cloud Signature Consortium v2 para QTSP remotos, incluidos Universign, D-Trust sign-me, A-Trust, FNMT Cl@ve Firma, Evrotrust e Intesi Group.

Cambia el proveedor, conserva el firmante. Los diez proveedores en detalle →

21 perfiles nacionales preconfigurados

Cada perfil ajusta de antemano el algoritmo de hash, la canonicalización, el nivel de firma, el sello de tiempo y la política de revocación OCSP para encajar con la jurisdicción destino. Cambiar de país es un cambio de una línea.

Perfiles de facturación electrónica (12)

España VeriFactu (AEAT) España, País Vasco TicketBAI España Facturae 3.x / FACe Italia FatturaPA (SDI) Portugal SAF-T PT Polonia KSeF Francia / Alemania Factur-X / ZUGFeRD Rumanía e-Factura (ANAF) Hungría NAV Online Croacia Fiskalizacija Bélgica y Bulgaria Peppol UBL Grecia myDATA (AADE)

Perfiles de contratos laborales de la UE (9)

Alemania B-LT Italia B-LT España B-T Francia B-T Austria B-LT Bélgica B-LT Portugal B-LT Países Bajos B-T Polonia B-T

Formatos alineados con eIDAS

Los perfiles apuntan al nivel AdES o QES que espera cada estado miembro, con el hash, la canonicalización, el sello de tiempo y la política de revocación ya definidos. Alemania exige una firma cualificada según el § 126a BGB, España acepta AdES para el SEPE y la TGSS, y Polonia pasa por Profil Zaufany o por un certificado cualificado para ZUS. El perfil recoge esas diferencias, tu código no.

Validación y prueba a largo plazo

TsgcEUTrustList analiza la Lista de Listas de Confianza de ETSI TS 119 612 y las Listas de Confianza de cada estado miembro, así cualquier certificado X.509 puede clasificarse contra el registro vivo de la UE. TsgcTSAClient añade sellos de tiempo RFC 3161 que promocionan una firma a B-T, B-LT y B-LTA, y cada verificación emite un informe de validación XML estandarizado ETSI TS 119 102-2.

Ver los 21 perfiles →

Firma centralizada para tu granja de compilación

Un demonio de firma autoalojado con API REST, una administración web en Bootstrap y un instalador de servicio Windows. Los agentes de compilación piden una firma, el proveedor de claves la realiza y el material de clave nunca aterriza en un runner.

  1. Compila

    Tu pipeline compila el artefacto en cualquier agente, Windows o Linux.

  2. Pide una firma

    El agente llama a POST /api/v1/sign sobre TLS con una clave de API bearer y una cabecera X-Project.

  3. El HSM o el KMS firma

    El servidor contacta con el proveedor de claves configurado. Las claves privadas se quedan en el HSM, en Azure, AWS, Google Cloud o Vault.

  4. Vuelve el artefacto firmado

    El binario firmado vuelve directamente al agente, con el sujeto del firmante y la duración en las cabeceras de respuesta.

  5. Sellado y auditado

    Se aplica un sello de tiempo RFC 3161 y la operación queda registrada en un log de auditoría encadenado con hashes SHA-256, con métricas de Prometheus y webhooks firmados con HMAC.

GitHub Actions Azure DevOps Jenkins Docker Helm chart Servicio Windows Proyectos multi-tenant Aprobación en dos pasos

Authenticode, ClickOnce, NuGet, VSIX, XAdES, PAdES y CAdES comparten la misma forma de endpoint. Visión general de sgcSign Server →

Firma un PDF, en proceso o por REST

La misma firma PAdES, producida de tres formas. Elige el componente cuando firma la aplicación, elige el servidor cuando firma el pipeline.

// PAdES with a visible signature and an RFC 3161 timestamp
var
  vKeyProvider: TsgcPFXKeyProvider;
  vSigner: TsgcPAdESSigner;
  vTSA: TsgcTSAClient;
begin
  vKeyProvider := TsgcPFXKeyProvider.Create(nil);
  vSigner := TsgcPAdESSigner.Create(nil);
  vTSA := TsgcTSAClient.Create(nil);
  try
    vKeyProvider.FileName := 'certificate.pfx';
    vKeyProvider.Password := 'secret';
    vKeyProvider.LoadFromFile;

    vTSA.URL := 'https://freetsa.org/tsr';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.TSAClient := vTSA;
    vSigner.Reason := 'Approved';
    vSigner.Location := 'Madrid, Spain';
    vSigner.VisibleSignature.Enabled := True;
    vSigner.SignPDF('contract.pdf', 'contract-signed.pdf');
  finally
    vTSA.Free;
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;
# PAdES-sign contract.pdf through sgcSign Server
curl -X POST https://sign.example.com/api/v1/sign/pades \
  -H "Authorization: Bearer $TOKEN" \
  -H "X-Project: production" \
  -F "file=@./contract.pdf" \
  -o contract-signed.pdf

# Headers returned by the server
# X-Sgcsign-Signer-Subject: CN=ACME Corp, O=ACME, C=US
# X-Sgcsign-Duration-Ms: 312
name: Sign Release
on: [push]

jobs:
  sign:
    runs-on: windows-latest
    steps:
      - uses: esegece/sgcsign-action@v1
        with:
          server: https://sign.acme.local
          project: acme-release
          file: myapp.exe
          format: authenticode

Mismo motor, mismos proveedores de claves, mismos perfiles por país. Inicio rápido →

Seis librerías, una caja de herramientas

sgcSign es una de las seis librerías de componentes de eSeGeCe para Delphi, C++Builder y .NET. Comparten convenciones, se entregan con código fuente completo y se despliegan libres de royalties.

sgcSign

XAdES, PAdES, CAdES y ASiC para documentos, y Authenticode, ClickOnce, NuGet y VSIX para código. Diez proveedores de claves, 21 perfiles por país y sgcSign Server.

Más información →

sgcWebSockets

WebSocket, HTTP/2, HTTP/3, MQTT, AMQP, WebRTC, IA y más de 30 integraciones de APIs. Firma cargas útiles de WebSocket y MQTT con el mismo motor de firma.

Más información →

sgcHTML

Componentes HTML y de UI en servidor construidos sobre Bootstrap 5 y htmx. Dale a un flujo de firma una interfaz web sin un stack de JavaScript que mantener.

Más información →

sgcOpenAPI

Parser de OpenAPI 3.x, generador de SDK Pascal y servidor OpenAPI, más de 1.195 SDK preconstruidos para AWS, Azure, Google Cloud y Microsoft Graph.

Más información →

sgcBiometrics

Windows Hello, sensores de huella dactilar y el Windows Biometric Framework. Desbloquea una clave de firma con la huella antes de que se ejecute el firmante.

Más información →

sgcIndy

Componentes Indy TCP/IP actualizados con TLS moderno, IPv6 y HTTP/2 para Delphi 7 a 13. Transporte de confianza hacia TSA, respondedores OCSP y verificadores de la UE.

Más información →

Una sola suscripción cubre todo el conjunto. Ver precios o coge la prueba gratuita de sgcWebSockets.

Qué dicen los desarrolladores

La confianza de desarrolladores de Delphi, C++ Builder, Lazarus y .NET en todo el mundo.

Muchas gracias por vuestra ayuda y soporte, me encantan vuestros componentes.
Mark Steinfeld CTO
sgcWebSockets es increíble y vuestro soporte es el mejor.
Christian Meyer Fundador y CTO
Vuestra librería sgcWebSockets es muy útil y fácil de configurar. ¡Seguid así!
Simone Moretti Desarrollador Delphi

Estás viendo la vista Firma y Cumplimiento de eSeGeCe.

Muéstrame otro enfoque →
Garantía de devolución de 30 días¿No estás satisfecho? Solicita un reembolso completo en los 30 días posteriores a la compra. Ver política de reembolso

Publica hoy firmas conformes con eIDAS

Añade firma XAdES, PAdES, CAdES y ASiC a tu aplicación Delphi, C++Builder o .NET, o levanta un servicio de firma centralizado para tu granja de compilación.