eSeGeCe — Composants de communication d’entreprise pour Delphi & .NET
EN VEDETTE · sgcSign

Signe des documents. Signe du code. Prouve-le.

XAdES pour le XML, PAdES pour le PDF, CAdES pour le CMS et les conteneurs ASiC pour l’ensemble. Authenticode, ClickOnce, NuGet et VSIX pour ce que tu livres. Depuis un composant natif Delphi, C++Builder ou .NET, ou depuis sgcSign Server via REST, avec le même moteur de signature derrière les deux.

  • Niveaux ETSI de B-B à B-LTA
  • 10 fournisseurs de clés
  • 21 profils par pays
  • Horodatage RFC 3161
sgcSign

La suite de signature numérique pour Delphi 7 à RAD Studio 13, C++Builder et .NET. Documents, code et un serveur de signature auto-hébergé, avec le code source complet et un déploiement sans royalties.

Aperçu du produit Voir les tarifs →

Les documents d’un côté, le code de l’autre

Les mêmes fournisseurs de clés, le même client d’horodatage et le même pipeline de validation signent une facture espagnole et un installateur Windows. Apprends l’API une fois, applique-la partout.

Les quatre familles de signatures ETSI

Chaque format prend en charge les quatre niveaux de conformité AdES, tu peux donc démarrer en B-B et passer en B-LTA quand les règles d’archivage l’exigent.

XAdES

ETSI EN 319 132. Signatures XML en modes enveloped, detached et enveloping. Le format derrière la facturation électronique et les contrats de travail européens.

PAdES

ETSI EN 319 142. Signatures intégrées directement dans le PDF, avec une apparence visible portant le nom du signataire, le motif, le lieu et le contact. Compatible avec Adobe Acrobat.

CAdES

ETSI EN 319 122. Signatures binaires CMS / PKCS#7 sur tout fichier ou flux, en mode détaché ou attaché.

ASiC-S / ASiC-E

ETSI EN 319 162. Un conteneur ZIP qui regroupe les documents avec leur signature XAdES ou CAdES. Simple pour un seul document, Étendu pour un manifeste et plusieurs documents.

Niveaux de base
B-B basique B-T horodatage B-LT long terme B-LTA archivage

Tout ce que tu livres à un client

La signature de code passe par sgcSign Server, la clé privée reste donc au même endroit et tes agents de build n’y touchent jamais.

Authenticode

Fichiers PE Windows : .exe, .dll, .sys, .ocx, .cpl et .scr. SHA-256 par défaut, plus SHA-1, SHA-384 et SHA-512. Les doubles signatures imbriquées gardent les vérificateurs hérités satisfaits.

ClickOnce

Signe les fichiers .application et .manifest pour que les clients Windows installent ton appli sans invite de confiance.

NuGet

Signe les paquets .nupkg pour que le client NuGet puisse valider l’identité de l’éditeur. Les signatures d’auteur et de dépôt sont prises en charge.

VSIX

Signe les paquets d’extensions Visual Studio pour que le Marketplace et l’IDE les acceptent comme fiables.

Appliqué à chaque artefact
SHA-256 par défaut Horodatage RFC 3161 Double signature Mode hash seul

Fichiers locaux, tokens matériels, KMS cloud

Chaque fournisseur implémente la même interface IsgcKeyProvider, un signataire fonctionne donc avec n’importe quelle source de clés sans modification. Passer d’un fichier PFX à AWS KMS revient à changer un composant.

PFX / PKCS#12

TsgcPFXKeyProvider

Fichiers de clés locaux protégés par mot de passe. Windows CNG natif, aucune DLL OpenSSL requise.

Fichiers PEM

TsgcPEMKeyProvider

Certificats PEM et clés PKCS#8 chiffrées, avec déchiffrement natif PBES2 / PBKDF2 / AES-CBC.

Magasin de certificats Windows

TsgcWindowsCertStoreProvider

Magasins de la machine locale et de l’utilisateur courant, directement dans ton installation PKI Windows et Active Directory.

Tokens matériels PKCS#11

TsgcPKCS11Provider

Cartes à puce et HSM via l’interface PKCS#11 standard, dont SafeNet, YubiKey et Nitrokey.

Azure Trusted Signing

TsgcAzureTrustedSigningProvider

Le service de signature qualifié de Microsoft avec des identifiants client OAuth2. Les clés privées ne quittent jamais Azure.

AWS KMS

TsgcAWSKMSKeyProvider

Les clés restent dans AWS Key Management Service. Le hash du document part, la signature brute revient.

Google Cloud KMS

TsgcGCloudKMSKeyProvider

Authentification par compte de service sur des clés hébergées dans Google Cloud Key Management.

HashiCorp Vault

TsgcHashiCorpVaultKeyProvider

Le moteur de signature transit de Vault. Les hashes voyagent via une API REST authentifiée, les clés restent dans Vault.

Certum SimplySign

TsgcCertumSimplySignProvider

Fournisseur qualifié polonais de signature électronique. Signature à distance dans le cloud pour KSeF, ZUS et d’autres portails publics.

CSC v2

TsgcCSCKeyProvider

Client générique Cloud Signature Consortium v2 pour les QTSP distants, dont Universign, D-Trust sign-me, A-Trust, FNMT Cl@ve Firma, Evrotrust et Intesi Group.

Change de fournisseur, garde le signataire. Les dix fournisseurs en détail →

21 profils par pays préconfigurés

Chaque profil règle d’avance l’algorithme de hachage, la canonicalisation, le niveau de signature, l’horodatage et la politique de révocation OCSP pour la juridiction visée. Changer de pays tient en une ligne.

Profils de facturation électronique (12)

Espagne VeriFactu (AEAT) Espagne, Pays basque TicketBAI Espagne Facturae 3.x / FACe Italie FatturaPA (SDI) Portugal SAF-T PT Pologne KSeF France / Allemagne Factur-X / ZUGFeRD Roumanie e-Factura (ANAF) Hongrie NAV Online Croatie Fiskalizacija Belgique & Bulgarie Peppol UBL Grèce myDATA (AADE)

Profils de contrats de travail UE (9)

Allemagne B-LT Italie B-LT Espagne B-T France B-T Autriche B-LT Belgique B-LT Portugal B-LT Pays-Bas B-T Pologne B-T

Des formats alignés sur eIDAS

Les profils visent le niveau AdES ou QES attendu par chaque État membre, avec le hash, la canonicalisation, l’horodatage et la politique de révocation déjà définis. L’Allemagne exige une signature qualifiée au titre du § 126a BGB, l’Espagne accepte l’AdES pour SEPE et TGSS, la Pologne passe par Profil Zaufany ou par un certificat qualifié pour ZUS. Le profil encode ces différences, pas ton code.

Validation et preuve à long terme

TsgcEUTrustList analyse la List of Trusted Lists ETSI TS 119 612 et les Trusted Lists de chaque État membre, tout certificat X.509 peut donc être classé face au registre européen en vigueur. TsgcTSAClient ajoute des horodatages RFC 3161 qui font passer une signature en B-T, B-LT et B-LTA, et chaque vérification produit un rapport de validation XML normalisé ETSI TS 119 102-2.

Parcourir les 21 profils →

Signature centralisée pour ta ferme de build

Un démon de signature auto-hébergé avec une API REST, une console d’admin web Bootstrap et un installateur de service Windows. Les agents de build demandent une signature, le fournisseur de clés signe, et le matériel de clé n’atterrit jamais sur un runner.

  1. Compile

    Ton pipeline compile l’artefact sur n’importe quel agent, Windows ou Linux.

  2. Demande une signature

    L’agent appelle POST /api/v1/sign en TLS avec une clé API bearer et un en-tête X-Project.

  3. Le HSM ou le KMS signe

    Le serveur contacte le fournisseur de clés configuré. Les clés privées restent dans le HSM, dans Azure, AWS, Google Cloud ou Vault.

  4. L’artefact signé revient

    Le binaire signé est renvoyé directement à l’agent, avec le sujet du signataire et la durée dans les en-têtes de réponse.

  5. Horodaté et audité

    Un horodatage RFC 3161 est appliqué et l’opération atterrit dans un journal d’audit chaîné par hash SHA-256, avec des métriques Prometheus et des webhooks signés HMAC.

GitHub Actions Azure DevOps Jenkins Docker Chart Helm Service Windows Projets multi-locataires Approbation à deux étapes

Authenticode, ClickOnce, NuGet, VSIX, XAdES, PAdES et CAdES partagent tous la même forme d’endpoint. Aperçu de sgcSign Server →

Signe un PDF, en local ou via REST

La même signature PAdES, produite de trois façons. Choisis le composant quand c’est l’appli qui signe, choisis le serveur quand c’est le pipeline qui signe.

// PAdES with a visible signature and an RFC 3161 timestamp
var
  vKeyProvider: TsgcPFXKeyProvider;
  vSigner: TsgcPAdESSigner;
  vTSA: TsgcTSAClient;
begin
  vKeyProvider := TsgcPFXKeyProvider.Create(nil);
  vSigner := TsgcPAdESSigner.Create(nil);
  vTSA := TsgcTSAClient.Create(nil);
  try
    vKeyProvider.FileName := 'certificate.pfx';
    vKeyProvider.Password := 'secret';
    vKeyProvider.LoadFromFile;

    vTSA.URL := 'https://freetsa.org/tsr';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.TSAClient := vTSA;
    vSigner.Reason := 'Approved';
    vSigner.Location := 'Madrid, Spain';
    vSigner.VisibleSignature.Enabled := True;
    vSigner.SignPDF('contract.pdf', 'contract-signed.pdf');
  finally
    vTSA.Free;
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;
# PAdES-sign contract.pdf through sgcSign Server
curl -X POST https://sign.example.com/api/v1/sign/pades \
  -H "Authorization: Bearer $TOKEN" \
  -H "X-Project: production" \
  -F "file=@./contract.pdf" \
  -o contract-signed.pdf

# Headers returned by the server
# X-Sgcsign-Signer-Subject: CN=ACME Corp, O=ACME, C=US
# X-Sgcsign-Duration-Ms: 312
name: Sign Release
on: [push]

jobs:
  sign:
    runs-on: windows-latest
    steps:
      - uses: esegece/sgcsign-action@v1
        with:
          server: https://sign.acme.local
          project: acme-release
          file: myapp.exe
          format: authenticode

Même moteur, mêmes fournisseurs de clés, mêmes profils par pays. Démarrage rapide →

Six bibliothèques, une seule boîte à outils

sgcSign est l’une des six bibliothèques de composants eSeGeCe pour Delphi, C++Builder et .NET. Elles partagent les mêmes conventions, elles sont livrées avec le code source complet et se déploient sans royalties.

sgcSign

XAdES, PAdES, CAdES et ASiC pour les documents, Authenticode, ClickOnce, NuGet et VSIX pour le code. Dix fournisseurs de clés, 21 profils par pays, plus sgcSign Server.

En savoir plus →

sgcWebSockets

WebSocket, HTTP/2, HTTP/3, MQTT, AMQP, WebRTC, IA et plus de 30 intégrations d’APIs. Signe les charges utiles WebSocket et MQTT avec le même moteur de signature.

En savoir plus →

sgcHTML

Composants HTML et d’interface côté serveur bâtis sur Bootstrap 5 et htmx. Donne une interface web à un workflow de signature sans stack JavaScript à maintenir.

En savoir plus →

sgcOpenAPI

Parser OpenAPI 3.x, générateur de SDK Pascal et serveur OpenAPI, plus de 1 195 SDK préconçus pour AWS, Azure, Google Cloud et Microsoft Graph.

En savoir plus →

sgcBiometrics

Windows Hello, capteurs d’empreintes digitales et Windows Biometric Framework. Déverrouille une clé de signature avec une empreinte avant que le signataire ne s’exécute.

En savoir plus →

sgcIndy

Composants Indy TCP/IP mis à jour avec TLS moderne, IPv6 et HTTP/2, de Delphi 7 à 13. Un transport fiable vers les TSA, les répondeurs OCSP et les vérificateurs européens.

En savoir plus →

Un seul abonnement couvre l’ensemble. Voir les tarifs ou récupère l’essai gratuit de sgcWebSockets.

Ce que disent les développeurs

Plébiscité par des développeurs Delphi, C++ Builder, Lazarus et .NET dans le monde entier.

Merci beaucoup pour votre aide et votre support, j’adore vos composants.
Mark Steinfeld CTO
sgcWebSockets est incroyable et votre support est le meilleur !
Christian Meyer Fondateur & CTO
Votre bibliothèque sgcWebSockets est très utile et facile à configurer. Continuez votre excellent travail !
Simone Moretti Développeur Delphi

Tu vois la vue Signer & se conformer d’eSeGeCe.

Montre-moi un autre angle →
Garantie satisfait ou remboursé de 30 joursPas satisfait ? Demandez un remboursement intégral dans les 30 jours suivant l'achat. Voir la politique de remboursement

Livre des signatures conformes eIDAS dès aujourd’hui

Ajoute la signature XAdES, PAdES, CAdES et ASiC à ton application Delphi, C++Builder ou .NET, ou monte un service de signature centralisé pour ta ferme de build.