Een neutraal, met bronnen onderbouwd overzicht van de code-ondertekentools en documentondertekentools voor Delphi- en C++ Builder-ontwikkelaars in 2026: sgcSign, Microsoft SignTool, osslsigncode, Azure Trusted Signing, DigiCert Software Trust Manager, jsign, Adobe Acrobat en de iText-/Apryse-PDF-SDK's. Elke functieclaim verwijst naar de eigen documentatie van het project.
Een samenvatting van één alinea per optie, met een link naar de officiële documentatie of repository. De gedetailleerde vergelijking staat in de matrix hieronder.
eSeGeCe · Commercial
Commerciële digitale-handtekeningsuite voor Delphi, C++ Builder en .NET. Geleverd in twee complementaire vormen die dezelfde ondertekenkern delen. De componentbibliotheek produceert in-process XAdES-, PAdES-, CAdES- en ASiC-handtekeningen vanaf Delphi 7 tot en met Delphi 13. sgcSign Server voegt een self-hosted REST-ondertekeningsdaemon toe die Authenticode (PE-binaries), ClickOnce-manifests, NuGet-packages, VSIX-bundles en PowerShell-scripts ondertekent bovenop de documentformaten. Tien sleutelproviders dekken lokale PFX/PEM, de Windows-certificaatstore, PKCS#11-hardwaretokens, AWS KMS, Azure Trusted Signing, Google Cloud KMS, HashiCorp Vault, Certum SimplySign en elke remote CSC v2-QTSP. Eenentwintig voorgeconfigureerde landprofielen sturen Europese e-facturatie en eIDAS-arbeidscontract-ondertekening aan.
Microsoft · Windows SDK EULA (free for development)
Microsofts command-line-code-signing-tool die wordt meegeleverd met de Windows 10-/Windows 11-SDK. Ondertekent en tijdstempelt Windows Portable Executable-bestanden (.exe, .dll, .sys, .cab, .cat), plus AppX-/MSIX-packages, ClickOnce-manifests en Microsoft Office Visual Basic for Applications-projecten via het SIP-mechanisme (Subject Interface Package). Leest certificaten uit de Windows-certificaatstore, PKCS#12-bestanden, smartcards en Cloud Signing Service-providers (CSP). PDF-, XML- en ETSI XAdES-/PAdES-/CAdES-ondertekening vallen buiten het bereik van SignTool.
Michał Trojnara & contributors · GPL-3.0-or-later (open source)
Open-source, platformonafhankelijke Authenticode-ondertekentool gebouwd op OpenSSL. Ondertekent Microsoft PE-binaries (.exe, .dll, .sys, .cab, .cat), CAB-archieven, AppX-/MSIX-packages, NuGet-packages en scriptbestanden. Draait naast Windows ook op Linux, BSD en macOS, wat de historische reden voor het project is — zo kunnen Linux-build-farms Windows-binaries ondertekenen zonder SignTool onder Wine te draaien. RFC 3161 en legacy Authenticode-tijdstempeling; certificaatbronnen omvatten PKCS#12-bestanden en PKCS#11-hardwaretokens.
Microsoft · Commercial (Azure subscription, per-month)
Microsofts volledig beheerde code-signing-service in Azure (voorheen Azure Code Signing). Klanten zijn niet de eigenaar van het ondertekeningscertificaat — Microsoft geeft elke drie dagen een kortlevend certificaat uit en bewaart de private sleutel in een Azure-HSM. Integraties zijn beschikbaar voor SignTool, GitHub Actions, Azure Pipelines, Trusted Signing PowerShell en een speciale dlib (Trusted Signing CSP) die de sleutels beschikbaar maakt voor elke CSP-bewuste tool. Ondertekent Windows PE, MSIX, AppX, ClickOnce, VBScript-/JScript-/PowerShell-scripts; PDF-/XML-ondertekening valt buiten de scope.
DigiCert · Commercial (subscription)
DigiCerts cloud-code-signing-platform. Private sleutels leven in een door DigiCert gehoste FIPS 140-2-/140-3-HSM. Onderteken Windows PE, Java JAR, Android APK, Linux RPM/DEB, container-images, NuGet, Apple Mach-O-binaries en meer via een reeks speciale tools: de smctl-ondertekeningsclient, de DigiCert KSP-/CSP-plug-in voor SignTool, native integraties voor Jenkins, GitHub Actions en Azure Pipelines, plus een REST-API. Documenten (PDF, XAdES) worden ondertekend via het aparte product DigiCert Document Trust Manager.
Emmanuel Bourg · Apache 2.0 (open source)
Open-source, Java-gebaseerde Authenticode-ondertekentool. Draait als zelfstandig commando, als Maven-/Gradle-/Ant-plug-in of als programmatische Java-API. Ondertekent Microsoft PE-binaries, MSI-installers, Microsoft-scriptbestanden (.ps1, .vbs, .js), MSIX-/AppX-packages, CAB-archieven en CAT-catalogi. Ondersteunt een breed scala aan cloud-HSM's via één enkele CLI: AWS KMS, Azure Key Vault, Azure Trusted Signing, Google Cloud KMS, DigiCert ONE, HashiCorp Vault, Oracle Cloud KMS, Yubico YubiHSM, AWS CloudHSM (via PKCS#11) en elk PKCS#11-apparaat.
Adobe · Commercial (subscription)
Adobe Acrobat Pro en Adobe Acrobat Sign zijn eindgebruikerproducten voor het ondertekenen van PDF-documenten. Acrobat Pro plaatst digitale handtekeningen en gecertificeerde handtekeningen met tijdstempels en valideert binnenkomende PDF-handtekeningen; Acrobat Sign (voorheen EchoSign) is een clouddienst voor het verzamelen van elektronische handtekeningen van externe partijen. Geen van beide is een developer-bibliotheek: er is geen Delphi-/C++ Builder-SDK en geen command-line-ondertekentool in de doos. PAdES Long-Term Validation wordt aan de validatiezijde ondersteund via de Adobe Approved Trust List (AATL) en de European Union Trusted List (EUTL).
iText Group / Apryse Software (PDFTron) · Commercial (AGPL or commercial license)
Twee commerciële PDF-SDK's die veel worden gebruikt voor onbewaakte PDF-ondertekening in server-side-applicaties. iText Core (voorheen iTextSharp) is beschikbaar voor Java en .NET onder AGPL-3.0 of een commerciële licentie; de com.itextpdf.signatures-namespace dekt PAdES-B-B/B-T/B-LT/B-LTA, MDP-certificeringen (modification-detection) en zichtbare verschijningsvormen. Apryse PDFTron is een commerciële, platformonafhankelijke SDK (Java, .NET, C++, Node.js, Python, Go, iOS, Android, web) met een PDF.SignatureHandler-API en PAdES-ondersteuning. Geen van beide leveranciers biedt een native Delphi-binding.
Een vinkje () betekent dat het project native ondersteuning documenteert. Een streepje (—) betekent dat het project dit niet native biedt. Een tilde (~) betekent gedeeltelijk / via add-on / niet expliciet gedocumenteerd — zie de Bronnen-sectie voor wat we hebben kunnen verifiëren.
| Functie | sgcSign | Microsoft SignTool | osslsigncode | Azure Trusted Signing | DigiCert Software Trust Manager | jsign | Adobe Acrobat / Adobe Sign | iText / Apryse |
|---|---|---|---|---|---|---|---|---|
| Windows-binaries ondertekenen Authenticode voor .exe / .dll / .sys / .ocx | — | — | ||||||
| ClickOnce-manifests ondertekenen .application-/.manifest-bestanden | ~ | ~ | — | — | ||||
| NuGet-/VSIX-packages ondertekenen .nupkg-/.vsix-containers | ~ | ~ | ~ | ~ | — | — | ||
| Mobiele packages ondertekenen (APK / IPA) Android-APK- of iOS-IPA-bundles | — | — | — | — | — | — | — | |
| PDF-documenten ondertekenen (PAdES) ETSI EN 319 142, Adobe-compatibel | — | — | — | ~ | — | |||
| Office-documenten ondertekenen Word/Excel/PowerPoint-docx/xlsx/pptx | — | ~ | — | — | — | — | — | — |
| XML-documenten ondertekenen (XAdES) ETSI EN 319 132 | — | — | — | ~ | — | — | ~ | |
| Native Delphi-/C++ Builder-API Volwaardige VCL-/FMX-componenten | — | — | — | — | — | — | — | |
| Platformonafhankelijke tooling Draait op Windows, Linux en macOS | ~ | — | ~ | |||||
| Cloud-HSM-ondersteuning AWS / Azure / GCP / HashiCorp / CSC v2 | ~ | ~ | ~ | ~ | ||||
| eIDAS- / landprofiel-presets Ondertekenings-presets per land (VeriFactu, KSeF, enzovoort) | — | — | — | ~ | — | ~ | ~ | |
| Standalone-CLI Command-line-client meegeleverd | ~ | — | — | |||||
| Bibliotheek / SDK Programmatische API die een applicatie kan aanroepen | — | — | ~ | ~ | ~ | — | ||
| Actief onderhoud Release of getagde activiteit in de laatste 12–18 maanden | ||||||||
| Licentiemodel Licentietype | Commercial | Windows SDK EULA | GPL-3.0-or-later | Commercial (Azure subscription) | Commercial (subscription) | Apache 2.0 | Commercial (subscription) | AGPL or Commercial (iText) / Commercial (Apryse) |
Korte notities over de verschillen als je overstapt van een van de bovenstaande opties. Niet polemisch — gewoon de praktische mapping.
SignTool dekt alleen Windows-code-signing. Als je applicatie SignTool al vanuit een buildscript aanroept, biedt sgcSign Server een REST-ondertekeningsendpoint dat een binary en een providernaam ontvangt en het ondertekende artefact teruggeeft — dezelfde workflow, maar de Authenticode-bewerking draait centraal en de resulterende audit-trail, goedkeuringsworkflow en quota per project staan op één plek. Documentondertekening (XAdES / PAdES / CAdES / ASiC) is dan beschikbaar vanuit dezelfde daemon.
Als je build-pipeline osslsigncode gebruikt om Windows-binaries Authenticode-te ondertekenen vanaf Linux-build-agents, geeft sgcSign Server je dezelfde flow via een HTTPS-API en voegt het volwaardige drivers toe voor AWS KMS, Azure Trusted Signing, Google Cloud KMS en HashiCorp Vault bovenop het PKCS#11-pad dat je mogelijk al gebruikt. Documentformaten (PDF / XML / CMS) zijn dan beschikbaar vanuit hetzelfde endpoint.
sgcSign biedt Azure Trusted Signing als een van zijn tien sleutelproviders aan (TsgcAzureTrustedSigningProvider), zodat een Delphi- of C++ Builder-applicatie Azure Trusted Signing rechtstreeks kan aansturen — dezelfde private sleutel, hetzelfde door Microsoft uitgegeven public-trust-certificaat, maar de signer draait in-process. Als je ook PDF-/XAdES-/CAdES-documentondertekening nodig hebt, bedient dezelfde sleutelprovider de document-signers.
Als je vandaag Windows-binaries ondertekent met smctl, kan sgcSign Server hetzelfde code-signing-certificaat aansturen via de PKCS#11-provider die DigiCert biedt, en voegt daar volwaardige XAdES-/PAdES-/CAdES-documentondertekening aan toe — handig wanneer een applicatie zowel code- als documenthandtekeningen vanuit één daemon nodig heeft.
jsign dekt Windows-code-signing over een breed scala aan cloud-HSM's. sgcSign Server overlapt op de cloud-HSM-matrix (AWS KMS, Azure Trusted Signing, Google Cloud KMS, HashiCorp Vault) en voegt ETSI-documentondertekening toe (PAdES, XAdES, CAdES, ASiC) plus de 21 landprofielen — handig wanneer dezelfde sleutel zowel code- als documenthandtekeningen moet produceren.
Adobe Acrobat is een eindgebruikertool, geen developer-bibliotheek. Als je momenteel eindgebruikers vraagt PDF's in Acrobat te ondertekenen en je nu onbewaakte server-side-PAdES-handtekeningen wilt, biedt sgcSign de PDF-signer (TsgcPAdESSigner) plus de tijdstempel- en OCSP-clients om PAdES-T- en PAdES-LT-handtekeningen te produceren vanuit een build-pipeline of backend-service.
iText en Apryse bieden geen native Delphi-binding, dus Delphi-applicaties wikkelen hun .NET- of Java-SDK doorgaans achter een dunne bridge. sgcSign produceert PAdES-B-B-/B-T-/B-LT-handtekeningen vanuit native Delphi- en C++ Builder-code — de bridge-laag verdwijnt, en dezelfde sleutelprovider-keten die PDF's ondertekent, ondertekent ook XML-, CMS- en Authenticode-artefacten.
Elke cel in de matrix hierboven is herleidbaar tot een van deze officiële documentatiepagina's, repositories of release notes. Alle URL's zijn op het moment van schrijven met een HEAD-check geverifieerd.