eSeGeCe — 面向 Delphi 和 .NET 的企业级通信组件
精选 · sgcSign

签署文档。签署代码。证明它。

XAdES 用于 XML,PAdES 用于 PDF,CAdES 用于 CMS,ASiC 容器打包整份材料。Authenticode、ClickOnce、NuGet 和 VSIX 用于您交付的产物。可以来自原生的 Delphi、C++Builder 或 .NET 组件,也可以通过 REST 来自 sgcSign Server,两者背后是同一个签名引擎。

  • ETSI 级别 B-B 到 B-LTA
  • 10 种密钥提供商
  • 21 个国家配置文件
  • RFC 3161 时间戳
sgcSign

面向 Delphi 7 到 RAD Studio 13、C++Builder 和 .NET 的数字签名套件。文档、代码,以及一个自托管签名服务器,提供完整源代码和免版税部署。

产品概览 查看价格 →

一边是文档,一边是代码

同样的密钥提供商、同样的时间戳客户端、同样的验证流程,既能签署一张西班牙发票,也能签署一个 Windows 安装程序。学习一次 API,即可到处使用。

四大 ETSI 签名族

每种格式都支持全部四个 AdES 合规级别,因此您可以从 B-B 起步,在归档规则要求时升级到 B-LTA。

XAdES

ETSI EN 319 132。XML 签名,支持包裹式、分离式和内嵌式模式。电子发票和欧盟劳动合同背后的格式。

PAdES

ETSI EN 319 142。签名嵌入 PDF 本身,并带有可见外观,显示签名者姓名、原因、地点和联系方式。兼容 Adobe Acrobat。

CAdES

ETSI EN 319 122。针对任意文件或数据流的 CMS / PKCS#7 二进制签名,可分离或附加。

ASiC-S / ASiC-E

ETSI EN 319 162。一个 ZIP 容器,把文档与其 XAdES 或 CAdES 签名打包在一起。Simple 适用于单个文档,Extended 适用于清单加多个文档。

基线级别
B-B 基础 B-T 时间戳 B-LT 长期 B-LTA 归档

您交付给客户的一切

代码签名通过 sgcSign Server 运行,因此私钥只存放在一个地方,您的构建代理永远接触不到它。

Authenticode

Windows PE 文件:.exe、.dll、.sys、.ocx、.cpl 和 .scr。默认 SHA-256,另支持 SHA-1、SHA-384 和 SHA-512。嵌套双签名可兼容旧版验证程序。

ClickOnce

签署 .application 和 .manifest 文件,让 Windows 客户端安装您的应用时不会弹出信任提示。

NuGet

签署 .nupkg 软件包,让 NuGet 客户端可以验证发布者身份。作者签名和仓库签名均受支持。

VSIX

签署 Visual Studio 扩展包,让 Marketplace 和 IDE 将其视为受信任。

适用于每个产物
默认 SHA-256 RFC 3161 时间戳 双重签名 仅哈希模式

本地文件、硬件令牌、云端 KMS

每个提供商都实现同一个 IsgcKeyProvider 接口,因此签名器无需修改即可配合任何密钥来源工作。从 PFX 文件切换到 AWS KMS,只需更换一个组件。

PFX / PKCS#12

TsgcPFXKeyProvider

本地密码保护的密钥文件。原生 Windows CNG,无需 OpenSSL DLL。

PEM 文件

TsgcPEMKeyProvider

PEM 证书和加密的 PKCS#8 密钥,具备原生 PBES2 / PBKDF2 / AES-CBC 解密能力。

Windows 证书存储

TsgcWindowsCertStoreProvider

本地计算机和当前用户存储,直接对接您的 Windows PKI 和 Active Directory 环境。

PKCS#11 硬件令牌

TsgcPKCS11Provider

通过标准 PKCS#11 接口访问智能卡和 HSM,包括 SafeNet、YubiKey 和 Nitrokey。

Azure Trusted Signing

TsgcAzureTrustedSigningProvider

微软的合格签名服务,使用 OAuth2 客户端凭据。私钥永不离开 Azure。

AWS KMS

TsgcAWSKMSKeyProvider

密钥保留在 AWS Key Management Service 中。文档哈希发送出去,原始签名返回回来。

Google Cloud KMS

TsgcGCloudKMSKeyProvider

使用服务账号认证,访问托管在 Google Cloud Key Management 中的密钥。

HashiCorp Vault

TsgcHashiCorpVaultKeyProvider

Vault transit 签名引擎。哈希通过经过认证的 REST API 传输,密钥始终留在 Vault 内部。

Certum SimplySign

TsgcCertumSimplySignProvider

波兰的合格电子签名提供商。面向 KSeF、ZUS 和其他公共门户的云端远程签名。

CSC v2

TsgcCSCKeyProvider

通用的 Cloud Signature Consortium v2 客户端,适用于远程 QTSP,包括 Universign、D-Trust sign-me、A-Trust、FNMT Cl@ve Firma、Evrotrust 和 Intesi Group。

更换提供商,保留签名器。十种提供商详解 →

21 个预配置国家配置文件

每个配置文件都会预先调整哈希算法、规范化方式、签名级别、时间戳和 OCSP 吊销策略,以匹配目标司法辖区。切换国家只需改动一行。

电子发票配置文件(12 个)

西班牙 VeriFactu (AEAT) 西班牙(巴斯克) TicketBAI 西班牙 Facturae 3.x / FACe 意大利 FatturaPA (SDI) 葡萄牙 SAF-T PT 波兰 KSeF 法国 / 德国 Factur-X / ZUGFeRD 罗马尼亚 e-Factura (ANAF) 匈牙利 NAV Online 克罗地亚 Fiskalizacija 比利时和保加利亚 Peppol UBL 希腊 myDATA (AADE)

欧盟劳动合同配置文件(9 个)

德国 B-LT 意大利 B-LT 西班牙 B-T 法国 B-T 奥地利 B-LT 比利时 B-LT 葡萄牙 B-LT 荷兰 B-T 波兰 B-T

与 eIDAS 对齐的格式

这些配置文件针对各成员国期望的 AdES 或 QES 级别,哈希、规范化、时间戳和吊销策略均已设置好。德国依据 § 126a BGB 要求合格签名,西班牙在 SEPE 和 TGSS 场景接受 AdES,波兰则通过 Profil Zaufany 或用于 ZUS 的合格证书。这些差异由配置文件编码,您的代码无需操心。

验证与长期证明

TsgcEUTrustList 解析 ETSI TS 119 612 的可信列表清单以及各成员国的可信列表,因此任何 X.509 证书都可以对照实时的欧盟注册库进行分类。TsgcTSAClient 添加 RFC 3161 时间戳,把签名提升到 B-T、B-LT 和 B-LTA,每次验证都会生成一份标准化的 ETSI TS 119 102-2 XML 验证报告。

浏览全部 21 个配置文件 →

为您的构建集群提供集中式签名

一个自托管的签名守护进程,带有 REST API、Bootstrap 网页管理后台和 Windows 服务安装程序。构建代理请求签名,密钥提供商完成签名,密钥材料永远不会落到运行器上。

  1. 构建

    您的流水线在任意代理上编译产物,Windows 或 Linux 均可。

  2. 请求签名

    代理通过 TLS 调用 POST /api/v1/sign,携带 bearer API 密钥和一个 X-Project 头部。

  3. HSM 或 KMS 签名

    服务器访问已配置的密钥提供商。私钥留在 HSM、Azure、AWS、Google Cloud 或 Vault 中。

  4. 返回已签名产物

    已签名的二进制文件直接流式返回给代理,响应头中带有签名者主体和耗时。

  5. 加盖时间戳并审计

    系统会加上 RFC 3161 时间戳,并把该操作写入 SHA-256 哈希链审计日志,同时提供 Prometheus 指标和 HMAC 签名的 webhook。

GitHub Actions Azure DevOps Jenkins Docker Helm chart Windows 服务 多租户项目 两步审批

Authenticode、ClickOnce、NuGet、VSIX、XAdES、PAdES 和 CAdES 共用同一种端点形态。sgcSign Server 概览 →

签署 PDF,进程内或通过 REST

同一份 PAdES 签名,三种产生方式。应用签名时选组件,流水线签名时选服务器。

// PAdES with a visible signature and an RFC 3161 timestamp
var
  vKeyProvider: TsgcPFXKeyProvider;
  vSigner: TsgcPAdESSigner;
  vTSA: TsgcTSAClient;
begin
  vKeyProvider := TsgcPFXKeyProvider.Create(nil);
  vSigner := TsgcPAdESSigner.Create(nil);
  vTSA := TsgcTSAClient.Create(nil);
  try
    vKeyProvider.FileName := 'certificate.pfx';
    vKeyProvider.Password := 'secret';
    vKeyProvider.LoadFromFile;

    vTSA.URL := 'https://freetsa.org/tsr';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.TSAClient := vTSA;
    vSigner.Reason := 'Approved';
    vSigner.Location := 'Madrid, Spain';
    vSigner.VisibleSignature.Enabled := True;
    vSigner.SignPDF('contract.pdf', 'contract-signed.pdf');
  finally
    vTSA.Free;
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;
# PAdES-sign contract.pdf through sgcSign Server
curl -X POST https://sign.example.com/api/v1/sign/pades \
  -H "Authorization: Bearer $TOKEN" \
  -H "X-Project: production" \
  -F "file=@./contract.pdf" \
  -o contract-signed.pdf

# Headers returned by the server
# X-Sgcsign-Signer-Subject: CN=ACME Corp, O=ACME, C=US
# X-Sgcsign-Duration-Ms: 312
name: Sign Release
on: [push]

jobs:
  sign:
    runs-on: windows-latest
    steps:
      - uses: esegece/sgcsign-action@v1
        with:
          server: https://sign.acme.local
          project: acme-release
          file: myapp.exe
          format: authenticode

同一个引擎、同样的密钥提供商、同样的国家配置文件。快速入门 →

六个组件库,一个工具箱

sgcSign 是 eSeGeCe 面向 Delphi、C++Builder 和 .NET 的六个组件库之一。它们共享同样的约定,提供完整源代码,并可免版税部署。

sgcSign

文档使用 XAdES、PAdES、CAdES 和 ASiC,代码使用 Authenticode、ClickOnce、NuGet 和 VSIX。十种密钥提供商、21 个国家配置文件,另有 sgcSign Server。

了解更多 →

sgcWebSockets

WebSocket、HTTP/2、HTTP/3、MQTT、AMQP、WebRTC、AI 及 30+ API 集成。用同一个签名引擎为 WebSocket 和 MQTT 负载签名。

了解更多 →

sgcHTML

基于 Bootstrap 5 和 htmx 构建的服务器端 HTML 和界面组件。为签名流程提供 Web 前端,无需维护 JavaScript 技术栈。

了解更多 →

sgcOpenAPI

OpenAPI 3.x 解析器、Pascal SDK 生成器和 OpenAPI 服务器,以及面向 AWS、Azure、Google Cloud 和 Microsoft Graph 的 1,195+ 预构建 SDK。

了解更多 →

sgcBiometrics

Windows Hello、指纹传感器和 Windows 生物特征框架。在签名器运行前,用指纹解锁签名密钥。

了解更多 →

sgcIndy

更新后的 Indy TCP/IP 组件,为 Delphi 7 到 13 提供现代 TLS、IPv6 和 HTTP/2。与 TSA、OCSP 响应者和欧盟验证方之间的可信传输。

了解更多 →

一个订阅涵盖整套产品。查看价格,或获取 sgcWebSockets 免费试用版

开发者怎么说

受到全球各地 Delphi、C++ Builder、Lazarus 和 .NET 开发者的信赖。

非常感谢你们的帮助和支持,我很喜欢你们的组件。
Mark Steinfeld 首席技术官
sgcWebSockets 非常出色,你们的支持也是最棒的!
Christian Meyer 创始人兼首席技术官
你们的 sgcWebSockets 库非常实用,而且易于设置。请继续保持!
Simone Moretti Delphi 开发者

您正在浏览 eSeGeCe 的签名与合规视角。

换个角度看看 →
30 天退款保证不满意?可在购买后 30 天内申请全额退款。 查看退款政策

今天就交付符合 eIDAS 的签名

为您的 Delphi、C++Builder 或 .NET 应用程序添加 XAdES、PAdES、CAdES 和 ASiC 签名,或者为您的构建集群搭建一套集中式签名服务。