sgcSign

DEUX FORMATS, UN SEUL MOTEUR

Bibliothèque ou serveur — le même cœur de signature

sgcSign est livré sous deux formats complémentaires qui partagent le même moteur de signature, les mêmes fournisseurs de clés et les mêmes profils de pays. Choisis la bibliothèque embarquée, le serveur centralisé, ou utilise les deux ensemble.

Bibliothèque de composants sgcSign

Composants Delphi / C++Builder / .NET prêà-l’emploi qui produisent des signatures XAdES, PAdES, CAdES et ASiC directement dans ton application. Cryptographie CNG/BCrypt native, aucune DLL externe, code source complet inclus.

Fonctionnalités de la bibliothèque →

sgcSign Server

Daemon de signature à distance auto-hébergé — API REST, interface d’administration Bootstrap, installateur de service Windows. Ajoute la signature Authenticode, ClickOnce, NuGet et VSIX en plus des formats documentaires. Pipelines prêà-l’emploi GitHub Actions, Azure DevOps, Jenkins, Docker et Helm.

Aperçu du serveur →

STANDARDS DE SIGNATURE

Tous les formats ETSI, de B-B à B-LTA

Couverture complète des quatre familles de signatures ETSI plus Microsoft Authenticode pour les binaires PE. Les quatre niveaux AdES sont pris en charge.

XAdES

ETSI EN 319 132 — signatures électroniques avancées XML

Signatures enveloppées, détachées et enveloppantes sur XML. Niveaux B-B / B-T / B-LT / B-LTA. Les diacritiques polonais, espagnols et allemands sont préservés sans perte grâce aux surcharges WideString sur Delphi 7+.

PAdES

ETSI EN 319 142 — signatures électroniques avancées PDF

Intègre des signatures numériques dans des documents PDF. Apparence visible de signature avec nom du signataire, raison, lieu, coordonnées et rectangle configurable. Compatible avec Adobe Acrobat.

CAdES

ETSI EN 319 122 — signatures électroniques avancées CMS/PKCS#7

Signatures binaires CMS/PKCS#7 sur tout fichier ou flux de données. Formes détachée et attachée. Niveaux de conformité BES, T et XL.

ASiC-S / ASiC-E

ETSI EN 319 162 — conteneurs de signatures associées

Regroupe un ou plusieurs documents et la signature XAdES ou CAdES associée dans une seule archive ZIP. Simple (un document) ou Étendu (manifeste + plusieurs documents).

Authenticode + ClickOnce + NuGet + VSIX

Signature de code — sgcSign Server

Signe les fichiers Windows PE (.exe, .dll, .sys, .ocx), les manifestes ClickOnce, les paquets NuGet et les bundles VSIX. SHA-256 (par défaut), SHA-384, SHA-512 et signature double pour la compatibilité avec l’existant.

10 FOURNISSEURS DE CLÉS

Fichiers locaux, tokens matériels, KMS cloud

Chaque fournisseur implémente la même interface IsgcKeyProvider, ainsi les signataires fonctionnent avec n’importe quelle source de clés sans modification. Passe d’un fichier PFX à AWS KMS en changeant un seul composant.

PFX / PKCS#12

TsgcPFXKeyProvider

Fichiers PFX locaux protégés par mot de passe. Prise en charge native Windows CNG ; aucune DLL OpenSSL requise.

Fichiers PEM

TsgcPEMKeyProvider

Certificats encodés PEM et clés privées PKCS#8 chiffrées. Déchiffrement natif PBES2 / PBKDF2 / AES-CBC — aucune bibliothèque externe requise.

Magasin de certificats Windows

TsgcWindowsCertStoreProvider

Magasins de certificats de la machine locale et de l’utilisateur courant. Intégration sans friction avec la PKI Windows et Active Directory.

Tokens matériels PKCS#11

TsgcPKCS11Provider

Cartes à puce et HSMs via l’interface PKCS#11 standard — SafeNet, YubiKey, Nitrokey et tout vendeur disposant d’un pilote PKCS#11.

Azure Trusted Signing

TsgcAzureTrustedSigningProvider

Service de signature qualifié de Microsoft. Identifiants client OAuth2, les clés privées ne quittent jamais Azure. Distinct d’Azure Key Vault.

AWS KMS

TsgcAWSKMSKeyProvider

AWS Key Management Service. Signe avec des clés détenues dans AWS ; le hash du document est envoyé, la signature brute revient.

Google Cloud KMS

TsgcGCloudKMSKeyProvider

Google Cloud Key Management. Authentification par compte de service avec des clés hébergées dans Google Cloud.

HashiCorp Vault

TsgcHashiCorpVaultKeyProvider

Moteur de signature transit Vault. Les clés restent dans Vault ; les hashes des documents sont envoyés via une API REST authentifiée.

Certum SimplySign

TsgcCertumSimplySignProvider

Fournisseur qualifié polonais de signatures électroniques. Signature à distance basée sur le cloud pour KSeF, ZUS et d’autres portails de l’administration publique polonaise.

CSC v2 (Cloud Signature Consortium)

TsgcCSCKeyProvider

Client CSC v2 générique pour QTSPs à distance — Universign, D-Trust sign-me, A-Trust, FNMT Cl@ve Firma, Evrotrust, Intesi Group et plus encore.

21 PROFILS DE PAYS PRÉCONFIGURÉS

Facturation électronique européenne & contrats de travail

Chaque profil règle à l’avance l’algorithme de hash, la canonicalisation, le niveau de signature, l’horodatage et la politique de révocation OCSP pour correspondre au régulateur du pays cible. Change de juridiction en une seule ligne.

Profils de facturation électronique (12)

Profil	Pays	Système	Format	Niveau
`spVeriFactu`	Espagne	VeriFactu (AEAT)	XAdES-EPES	B-B
`spTicketBAI`	Espagne (Pays basque)	TicketBAI	XAdES-EPES	B-B
`spFacturaeB2B`	Spain	Facturae 3.x / FACe	XAdES-EPES	B-T
`spFatturaPA`	Italie	FatturaPA (SDI)	XAdES-BES	B-B
`spSAFTPT`	Portugal	SAF-T PT	RSA-SHA256	B-B
`spKSeF`	Pologne	KSeF (Krajowy System e-Faktur)	XAdES	B-T
`spFacturX`	France / Allemagne	Factur-X / ZUGFeRD	XAdES	B-B
`spEFactura`	Roumanie	e-Factura (ANAF)	XAdES	B-T
`spNAVOnline`	Hongrie	NAV Online	XML-DSig	B-B
`spFiskalizacija`	Croatie	Fiskalizacija	XML-DSig	B-B
`spPeppolBE` / `spPeppolBG`	UE (Belgique, Bulgarie)	Peppol UBL 2.x	XAdES	B-T
`spMyDATA`	Grèce	myDATA (AADE)	XAdES	B-B

Profils de contrats de travail UE (9)

Signatures conformes eIDAS pour les exigences du droit du travail des États membres sur les contrats de travail. Préréglées au niveau AdES / QES, au hash, à la canonicalisation, à l’horodatage et à la politique de révocation OCSP de chaque juridiction. Acceptées par les vérificateurs des administrations du travail.

Allemagne — `spEmploymentDE`

Niveau B-LT, QES exigée par le § 126a du BGB pour les contrats écrits (par ex. CDD > 24 mois, clause de non-concurrence post-contractuelle).

Italie — `spEmploymentIT`

Niveau B-LT, signature qualifiée FEQ. CAdES (.p7m) largement utilisé ; XAdES accepté. Les portails INPS acceptent les deux.

Espagne — `spEmploymentES`

Niveau B-T, AdES suffisant. Les portails SEPE / TGSS exigent un certificat FNMT ou DNIe ; CRL via la liste de confiance FNMT.

France — `spEmploymentFR`

Niveau B-T, AdES suffisant. QES préférée pour les flux de signature à distance sous DSP2 / RGS.

Autriche — `spEmploymentAT`

Niveau B-LT. QES via Handy-Signatur / ID Austria courante.

Belgique — `spEmploymentBE`

Niveau B-LT. QES via carte eID (BeID).

Portugal — `spEmploymentPT`

Niveau B-LT. QES via Cartão do Cidadão / Chave Móvel Digital.

Pays-Bas — `spEmploymentNL`

Niveau B-T. AdES généralement acceptée ; QES pour certains portails RH (UWV).

Pologne — `spEmploymentPL`

Niveau B-T. QES via Profil Zaufany ou certificat qualifié lorsque le contrat est transmis à ZUS / PUE.

VALIDATION & CONFIANCE

Liste de confiance UE, rapports de validation ETSI & LTV

sgcSign vérifie les signatures de la même manière que l’UE — face à la LOTL en direct, avec un rapport XML standardisé que les tribunaux du travail et les administrations publiques acceptent comme preuve légale.

Vérification de signature avec LTV

Pipeline de validation complet — vérifications de digest, vérification de signature RSA/ECDSA, validation de chaîne de certificats, contrôle de révocation OCSP, RevocationValues embarquées pour la Long-Term Validation, recherche de fragment par Id pour SignedProperties.

Liste de confiance UE (LOTL / EUTL)

TsgcEUTrustList parse la List of Trusted Lists ETSI TS 119 612 et environ 31 listes de confiance par État membre. Classifie n’importe quel certificat X.509 comme qualifié eIDAS en cherchant son service TSP émetteur dans le registre UE en direct.

Rapport de validation ETSI TS 119 102-2

Rapport de validation XML standardisé (v1.2.1) produit pour chaque vérification — accepté par les tribunaux du travail UE et les vérificateurs des administrations publiques comme preuve légale de la validité de la signature.

Horodatage RFC 3161

TsgcTSAClient intégré pour toute autorité d’horodatage RFC 3161. Promeut les signatures aux niveaux XAdES-T, XAdES-LT et XAdES-LTA — vérifiables longtemps après l’expiration du certificat de signature.

EXEMPLES DE CODE

Du PFX local au KMS cloud — la même API

Signer une facture VeriFactu avec un PFX local

Charger le certificat depuis un PFX avec mot de passe
Profil VeriFactu appliqué automatiquement
Un seul appel de méthode renvoie le XML signé

SignVeriFactu.pas

// Sign Spanish VeriFactu invoice
var
  vKeyProvider: TsgcPFXKeyProvider;
  vSigner: TsgcDocumentSigner;
begin
  vKeyProvider := TsgcPFXKeyProvider.Create(nil);
  try
    vKeyProvider.FileName := 'certificate.pfx';
    vKeyProvider.Password := 'secret';
    vKeyProvider.LoadFromFile;

    vSigner := TsgcDocumentSigner.Create(nil);
    try
      vSigner.KeyProvider := vKeyProvider;
      vSigner.Profile := spVeriFactu;
      memoSigned.Text := vSigner.SignXML(memoXML.Text);
    finally
      vSigner.Free;
    end;
  finally
    vKeyProvider.Free;
  end;
end;

Signer un EXE en Authenticode avec Azure Trusted Signing

Aucun PFX local, aucun token USB
La clé privée reste dans Azure
Certificat de confiance publique émis par Microsoft

SignWithAzure.pas

// Authenticode-sign with Azure Trusted Signing
var
  vKeyProvider: TsgcAzureTrustedSigningProvider;
  vSigner: TsgcAuthenticodeSigner;
begin
  vKeyProvider := TsgcAzureTrustedSigningProvider.Create(nil);
  vSigner := TsgcAuthenticodeSigner.Create(nil);
  try
    vKeyProvider.AccountName := 'my-trusted-signing-account';
    vKeyProvider.CertificateProfileName := 'public-trust';
    vKeyProvider.Endpoint := 'https://eus.codesigning.azure.net';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.SignFile('myapp.exe', 'myapp-signed.exe');
  finally
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;

PAdES-LT — signature visible avec horodatage

Certificat issu du magasin Windows
La TSA RFC 3161 promeut au niveau PAdES-T
Signature visible avec raison & lieu

SignPDFVisible.pas

// PAdES-T with visible signature appearance
var
  vKeyProvider: TsgcWindowsCertStoreProvider;
  vSigner: TsgcPAdESSigner;
  vTSA: TsgcTSAClient;
begin
  vKeyProvider := TsgcWindowsCertStoreProvider.Create(nil);
  vSigner := TsgcPAdESSigner.Create(nil);
  vTSA := TsgcTSAClient.Create(nil);
  try
    vKeyProvider.SubjectName := 'CN=Acme Corp';
    vKeyProvider.LoadFromStore;

    vTSA.URL := 'https://freetsa.org/tsr';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.TSAClient := vTSA;
    vSigner.Reason := 'Approved';
    vSigner.Location := 'Madrid, Spain';
    vSigner.VisibleSignature.Enabled := True;
    vSigner.SignPDF('contract.pdf', 'contract-signed.pdf');
  finally
    vTSA.Free;
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;

SGCSIGN SERVER

Signature centralisée pour ta build farm

Tu as besoin d’une signature centralisée pour ton pipeline de build ? sgcSign Server encapsule le même moteur derrière une API REST et une interface d’administration Bootstrap — installateur de service Windows, pipelines prêà-l’emploi GitHub Actions / Azure DevOps / Jenkins / Docker / Helm, modèle de projet multi-tenant, workflow d’approbation à deux étapes, journal d’audit chaîné par hash SHA-256, métriques Prometheus et webhooks signés par HMAC.

Signature Authenticode, ClickOnce, NuGet, VSIX
API REST, interface web d’administration, installateur de service Windows
Toutes les fonctionnalités incluses par défaut

En savoir plus sur sgcSign Server

github-actions.yml

name: Sign Release
on: [push]

jobs:
  sign:
    runs-on: windows-latest
    steps:
      - uses: esegece/sgcsign-action@v1
        with:
          server: https://sign.acme.local
          project: acme-release
          file: myapp.exe
          format: authenticode