sgcSign

Suite di firma digitale di livello enterprise per Delphi, C++Builder e .NET. Produce firme XAdES, PAdES, CAdES e ASiC da 10 provider di chiavi e 21 profili per paese preconfigurati — disponibile come libreria di componenti in-process oppure come daemon di firma remota self-hosted per build farm.

XAdES / PAdES / CAdES / ASiC
10 provider di chiavi
21 profili per paese
Conforme eIDAS UE
DUE FORM FACTOR, UN UNICO MOTORE

Libreria o server — lo stesso core di firma

sgcSign è disponibile in due form factor complementari che condividono lo stesso motore di firma, provider di chiavi e profili per paese. Scegli la libreria embedded, il server centralizzato oppure usali insieme.

Libreria di componenti sgcSign

Componenti Delphi / C++Builder / .NET drop-in che producono firme XAdES, PAdES, CAdES e ASiC direttamente all'interno della tua applicazione. Crittografia CNG/BCrypt nativa, nessuna DLL esterna, codice sorgente completo incluso.

Funzionalità della libreria →

Server sgcSign

Daemon di firma remota self-hosted — API REST, admin web Bootstrap, installer come servizio Windows. Aggiunge la firma di Authenticode, ClickOnce, NuGet e VSIX oltre ai formati documentali. Pipeline pronte per GitHub Actions, Azure DevOps, Jenkins, Docker e Helm.

Panoramica del server →
STANDARD DI FIRMA

Tutti i formati ETSI, da B-B a B-LTA

Copertura completa delle quattro famiglie di firme ETSI più Microsoft Authenticode per i binari PE. Supporto a tutti e quattro i livelli AdES.

</>

XAdES

ETSI EN 319 132 — XML Advanced Electronic Signatures

Firme enveloped, detached ed enveloping su XML. Livelli B-B / B-T / B-LT / B-LTA. I caratteri diacritici polacchi, spagnoli e tedeschi vengono preservati senza perdita tramite gli overload WideString a partire da Delphi 7.

PAdES

ETSI EN 319 142 — PDF Advanced Electronic Signatures

Incorpora firme digitali nei documenti PDF. Aspetto della firma visibile con nome del firmatario, motivo, luogo, informazioni di contatto e rettangolo configurabile. Compatibile con Adobe Acrobat.

CAdES

ETSI EN 319 122 — CMS/PKCS#7 Advanced Electronic Signatures

Firme binarie CMS/PKCS#7 su qualsiasi file o flusso di dati. Forme detached e attached. Livelli di conformità BES, T e XL.

ASiC-S / ASiC-E

ETSI EN 319 162 — Associated Signature Containers

Raggruppa uno o più documenti e la relativa firma XAdES o CAdES in un singolo archivio ZIP. Simple (un documento) o Extended (manifest + più documenti).

Authenticode + ClickOnce + NuGet + VSIX

Firma del codice — server sgcSign

Firma file PE di Windows (.exe, .dll, .sys, .ocx), manifest ClickOnce, pacchetti NuGet e bundle VSIX. SHA-256 (predefinito), SHA-384, SHA-512 e doppia firma per la compatibilità con sistemi legacy.

10 PROVIDER DI CHIAVI

File locali, token hardware, KMS cloud

Ogni provider implementa la stessa interfaccia IsgcKeyProvider, così i signer funzionano con qualsiasi sorgente di chiavi senza modifiche. Passa da un file PFX ad AWS KMS cambiando un solo componente.

PFX / PKCS#12

TsgcPFXKeyProvider

File PFX locali protetti da password. Supporto nativo Windows CNG; non richiede DLL OpenSSL.

File PEM

TsgcPEMKeyProvider

Certificati codificati in PEM e chiavi private PKCS#8 cifrate. Decifratura nativa PBES2 / PBKDF2 / AES-CBC — non richiede librerie esterne.

Archivio certificati di Windows

TsgcWindowsCertStoreProvider

Archivi certificati di macchina locale e utente corrente. Integrazione trasparente con Windows PKI e Active Directory.

Token hardware PKCS#11

TsgcPKCS11Provider

Smart card e HSM tramite l'interfaccia standard PKCS#11 — SafeNet, YubiKey, Nitrokey e qualsiasi vendor con un driver PKCS#11.

Azure Trusted Signing

TsgcAzureTrustedSigningProvider

Servizio di firma qualificata di Microsoft. Credenziali OAuth2 client, le chiavi private non lasciano mai Azure. Distinto da Azure Key Vault.

AWS KMS

TsgcAWSKMSKeyProvider

AWS Key Management Service. Firma con chiavi custodite in AWS; viene inviato l'hash del documento e restituita la firma grezza.

Google Cloud KMS

TsgcGCloudKMSKeyProvider

Google Cloud Key Management. Autenticazione tramite service account con chiavi ospitate in Google Cloud.

HashiCorp Vault

TsgcHashiCorpVaultKeyProvider

Motore di firma transit di Vault. Le chiavi rimangono all'interno di Vault; gli hash dei documenti vengono inviati tramite un'API REST autenticata.

Certum SimplySign

TsgcCertumSimplySignProvider

Provider qualificato di firma elettronica polacco. Firma remota basata su cloud per KSeF, ZUS e altri portali della pubblica amministrazione polacca.

CSC v2 (Cloud Signature Consortium)

TsgcCSCKeyProvider

Client generico CSC v2 per QTSP remoti — Universign, D-Trust sign-me, A-Trust, FNMT Cl@ve Firma, Evrotrust, Intesi Group e altri.

21 PROFILI PER PAESE PRECONFIGURATI

Fatturazione elettronica europea e contratti di lavoro

Ogni profilo pre-configura algoritmo di hash, canonicalizzazione, livello di firma, timestamp e policy di revoca OCSP per adattarsi al regolatore del paese target. Cambia giurisdizione con una sola riga di codice.

Profili di fatturazione elettronica (12)

Profilo Paese Sistema Formato Livello
spVeriFactuSpagnaVeriFactu (AEAT)XAdES-EPESB-B
spTicketBAISpagna (Paesi Baschi)TicketBAIXAdES-EPESB-B
spFacturaeB2BSpagnaFacturae 3.x / FACeXAdES-EPESB-T
spFatturaPAItaliaFatturaPA (SDI)XAdES-BESB-B
spSAFTPTPortogalloSAF-T PTRSA-SHA256B-B
spKSeFPoloniaKSeF (Krajowy System e-Faktur)XAdESB-T
spFacturXFrancia / GermaniaFactur-X / ZUGFeRDXAdESB-B
spEFacturaRomaniae-Factura (ANAF)XAdESB-T
spNAVOnlineUngheriaNAV OnlineXML-DSigB-B
spFiskalizacijaCroaziaFiskalizacijaXML-DSigB-B
spPeppolBE / spPeppolBGUE (Belgio, Bulgaria)Peppol UBL 2.xXAdESB-T
spMyDATAGreciamyDATA (AADE)XAdESB-B

Profili per contratti di lavoro UE (9)

Firme conformi a eIDAS per i requisiti di diritto del lavoro degli Stati membri sui contratti di lavoro. Pre-configurate al livello AdES / QES, hash, canonicalizzazione, timestamp e policy di revoca OCSP di ciascuna giurisdizione. Accettate dai verificatori delle amministrazioni del lavoro.

Germania — spEmploymentDE

Livello B-LT, QES richiesta dal § 126a BGB per contratti in forma scritta (ad es. tempo determinato > 24 mesi, patto di non concorrenza post-contrattuale).

Italia — spEmploymentIT

Livello B-LT, firma qualificata FEQ. CAdES (.p7m) ampiamente utilizzato; XAdES accettato. I portali INPS accettano entrambi.

Spagna — spEmploymentES

Livello B-T, AdES sufficiente. I portali SEPE / TGSS richiedono certificato FNMT o DNIe; CRL tramite trust list FNMT.

Francia — spEmploymentFR

Livello B-T, AdES sufficiente. QES preferita per i flussi di firma remota ai sensi di DSP2 / RGS.

Austria — spEmploymentAT

Livello B-LT. QES tramite Handy-Signatur / ID Austria comune.

Belgio — spEmploymentBE

Livello B-LT. QES tramite carta eID (BeID).

Portogallo — spEmploymentPT

Livello B-LT. QES tramite Cartão do Cidadão / Chave Móvel Digital.

Paesi Bassi — spEmploymentNL

Livello B-T. AdES generalmente accettato; QES per alcuni portali HR (UWV).

Polonia — spEmploymentPL

Livello B-T. QES tramite Profil Zaufany o certificato qualificato quando il contratto va a ZUS / PUE.

CONVALIDA E TRUST

Trust List UE, report di validazione ETSI e LTV

sgcSign verifica le firme nello stesso modo in cui le verifica l'UE — rispetto alla LOTL aggiornata, con un report XML standardizzato che i tribunali del lavoro e le pubbliche amministrazioni accettano come prova legale.

Verifica delle firme con LTV

Pipeline di convalida completa — controlli sui digest, verifica delle firme RSA/ECDSA, validazione della catena dei certificati, controllo della revoca OCSP, RevocationValues incorporati per Long-Term Validation, lookup di frammenti basato su Id per SignedProperties.

Trust List UE (LOTL / EUTL)

TsgcEUTrustList analizza la List of Trusted Lists ETSI TS 119 612 e circa 31 Trusted List per Stato membro. Classifica qualsiasi certificato X.509 come qualificato secondo eIDAS confrontando il servizio TSP emittente con il registro UE aggiornato.

Report di validazione ETSI TS 119 102-2

Report di validazione XML standardizzato (v1.2.1) prodotto per ogni verifica — accettato dai tribunali del lavoro UE e dai verificatori della pubblica amministrazione come prova legale della validità della firma.

Timestamping RFC 3161

TsgcTSAClient integrato per qualsiasi autorità di marcatura temporale RFC 3161. Promuove le firme a XAdES-T, XAdES-LT e XAdES-LTA — verificabili molto tempo dopo la scadenza del certificato di firma.

ESEMPI DI CODICE

Dal PFX locale al KMS cloud — la stessa API

Firma una fattura VeriFactu con un PFX locale

  • Carica il certificato da PFX con password
  • Profilo VeriFactu applicato automaticamente
  • Una sola chiamata di metodo restituisce l'XML firmato
SignVeriFactu.pas 
// Firma una fattura VeriFactu spagnola
var
  vKeyProvider: TsgcPFXKeyProvider;
  vSigner: TsgcDocumentSigner;
begin
  vKeyProvider := TsgcPFXKeyProvider.Create(nil);
  try
    vKeyProvider.FileName := 'certificate.pfx';
    vKeyProvider.Password := 'secret';
    vKeyProvider.LoadFromFile;

    vSigner := TsgcDocumentSigner.Create(nil);
    try
      vSigner.KeyProvider := vKeyProvider;
      vSigner.Profile := spVeriFactu;
      memoSigned.Text := vSigner.SignXML(memoXML.Text);
    finally
      vSigner.Free;
    end;
  finally
    vKeyProvider.Free;
  end;
end;

Firma Authenticode di un EXE con Azure Trusted Signing

  • Nessun PFX locale, nessun token USB
  • La chiave privata rimane in Azure
  • Certificato public-trust emesso da Microsoft
SignWithAzure.pas 
// Firma Authenticode con Azure Trusted Signing
var
  vKeyProvider: TsgcAzureTrustedSigningProvider;
  vSigner: TsgcAuthenticodeSigner;
begin
  vKeyProvider := TsgcAzureTrustedSigningProvider.Create(nil);
  vSigner := TsgcAuthenticodeSigner.Create(nil);
  try
    vKeyProvider.AccountName := 'my-trusted-signing-account';
    vKeyProvider.CertificateProfileName := 'public-trust';
    vKeyProvider.Endpoint := 'https://eus.codesigning.azure.net';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.SignFile('myapp.exe', 'myapp-signed.exe');
  finally
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;

PAdES-LT — firma visibile con timestamp

  • Certificato dall'archivio di Windows
  • TSA RFC 3161 promuove a PAdES-T
  • Firma visibile con motivo e luogo
SignPDFVisible.pas 
// PAdES-T con aspetto di firma visibile
var
  vKeyProvider: TsgcWindowsCertStoreProvider;
  vSigner: TsgcPAdESSigner;
  vTSA: TsgcTSAClient;
begin
  vKeyProvider := TsgcWindowsCertStoreProvider.Create(nil);
  vSigner := TsgcPAdESSigner.Create(nil);
  vTSA := TsgcTSAClient.Create(nil);
  try
    vKeyProvider.SubjectName := 'CN=Acme Corp';
    vKeyProvider.LoadFromStore;

    vTSA.URL := 'https://freetsa.org/tsr';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.TSAClient := vTSA;
    vSigner.Reason := 'Approvato';
    vSigner.Location := 'Madrid, Spagna';
    vSigner.VisibleSignature.Enabled := True;
    vSigner.SignPDF('contract.pdf', 'contract-signed.pdf');
  finally
    vTSA.Free;
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;
SERVER SGCSIGN

Firma centralizzata per la tua build farm

Hai bisogno di una firma centralizzata per la tua pipeline di build? Il server sgcSign incapsula lo stesso motore dietro un'API REST e un admin web Bootstrap — installer come servizio Windows, pipeline pronte per GitHub Actions / Azure DevOps / Jenkins / Docker / Helm, modello di progetto multi-tenant, workflow di approvazione a due passaggi, audit log con catena di hash SHA-256, metriche Prometheus e webhook firmati con HMAC.

  • Firma Authenticode, ClickOnce, NuGet, VSIX
  • API REST, admin web, installer come servizio Windows
  • Tutte le funzionalità incluse di default
Scopri di più sul server sgcSign
github-actions.yml 
name: Firma release
on: [push]

jobs:
  sign:
    runs-on: windows-latest
    steps:
      - uses: esegece/sgcsign-action@v1
        with:
          server: https://sign.acme.local
          project: acme-release
          file: myapp.exe
          format: authenticode

Distribuisci oggi firme conformi a eIDAS

Aggiungi la firma XAdES, PAdES, CAdES e ASiC alle tue applicazioni Delphi, C++Builder o .NET — oppure attiva un servizio di firma centralizzato per la tua build farm.

Scarica la versione di prova Vedi i prezzi