签署文档。签署代码。证明它。
XAdES 用于 XML,PAdES 用于 PDF,CAdES 用于 CMS,ASiC 容器打包整份材料。Authenticode、ClickOnce、NuGet 和 VSIX 用于您交付的产物。可以来自原生的 Delphi、C++Builder 或 .NET 组件,也可以通过 REST 来自 sgcSign Server,两者背后是同一个签名引擎。
- ETSI 级别 B-B 到 B-LTA
- 10 种密钥提供商
- 21 个国家配置文件
- RFC 3161 时间戳
XAdES 用于 XML,PAdES 用于 PDF,CAdES 用于 CMS,ASiC 容器打包整份材料。Authenticode、ClickOnce、NuGet 和 VSIX 用于您交付的产物。可以来自原生的 Delphi、C++Builder 或 .NET 组件,也可以通过 REST 来自 sgcSign Server,两者背后是同一个签名引擎。
同样的密钥提供商、同样的时间戳客户端、同样的验证流程,既能签署一张西班牙发票,也能签署一个 Windows 安装程序。学习一次 API,即可到处使用。
每种格式都支持全部四个 AdES 合规级别,因此您可以从 B-B 起步,在归档规则要求时升级到 B-LTA。
ETSI EN 319 132。XML 签名,支持包裹式、分离式和内嵌式模式。电子发票和欧盟劳动合同背后的格式。
ETSI EN 319 142。签名嵌入 PDF 本身,并带有可见外观,显示签名者姓名、原因、地点和联系方式。兼容 Adobe Acrobat。
ETSI EN 319 122。针对任意文件或数据流的 CMS / PKCS#7 二进制签名,可分离或附加。
ETSI EN 319 162。一个 ZIP 容器,把文档与其 XAdES 或 CAdES 签名打包在一起。Simple 适用于单个文档,Extended 适用于清单加多个文档。
代码签名通过 sgcSign Server 运行,因此私钥只存放在一个地方,您的构建代理永远接触不到它。
Windows PE 文件:.exe、.dll、.sys、.ocx、.cpl 和 .scr。默认 SHA-256,另支持 SHA-1、SHA-384 和 SHA-512。嵌套双签名可兼容旧版验证程序。
签署 .application 和 .manifest 文件,让 Windows 客户端安装您的应用时不会弹出信任提示。
签署 .nupkg 软件包,让 NuGet 客户端可以验证发布者身份。作者签名和仓库签名均受支持。
签署 Visual Studio 扩展包,让 Marketplace 和 IDE 将其视为受信任。
每个提供商都实现同一个 IsgcKeyProvider 接口,因此签名器无需修改即可配合任何密钥来源工作。从 PFX 文件切换到 AWS KMS,只需更换一个组件。
本地密码保护的密钥文件。原生 Windows CNG,无需 OpenSSL DLL。
PEM 证书和加密的 PKCS#8 密钥,具备原生 PBES2 / PBKDF2 / AES-CBC 解密能力。
本地计算机和当前用户存储,直接对接您的 Windows PKI 和 Active Directory 环境。
通过标准 PKCS#11 接口访问智能卡和 HSM,包括 SafeNet、YubiKey 和 Nitrokey。
微软的合格签名服务,使用 OAuth2 客户端凭据。私钥永不离开 Azure。
密钥保留在 AWS Key Management Service 中。文档哈希发送出去,原始签名返回回来。
使用服务账号认证,访问托管在 Google Cloud Key Management 中的密钥。
Vault transit 签名引擎。哈希通过经过认证的 REST API 传输,密钥始终留在 Vault 内部。
波兰的合格电子签名提供商。面向 KSeF、ZUS 和其他公共门户的云端远程签名。
通用的 Cloud Signature Consortium v2 客户端,适用于远程 QTSP,包括 Universign、D-Trust sign-me、A-Trust、FNMT Cl@ve Firma、Evrotrust 和 Intesi Group。
更换提供商,保留签名器。十种提供商详解 →
每个配置文件都会预先调整哈希算法、规范化方式、签名级别、时间戳和 OCSP 吊销策略,以匹配目标司法辖区。切换国家只需改动一行。
这些配置文件针对各成员国期望的 AdES 或 QES 级别,哈希、规范化、时间戳和吊销策略均已设置好。德国依据 § 126a BGB 要求合格签名,西班牙在 SEPE 和 TGSS 场景接受 AdES,波兰则通过 Profil Zaufany 或用于 ZUS 的合格证书。这些差异由配置文件编码,您的代码无需操心。
TsgcEUTrustList 解析 ETSI TS 119 612 的可信列表清单以及各成员国的可信列表,因此任何 X.509 证书都可以对照实时的欧盟注册库进行分类。TsgcTSAClient 添加 RFC 3161 时间戳,把签名提升到 B-T、B-LT 和 B-LTA,每次验证都会生成一份标准化的 ETSI TS 119 102-2 XML 验证报告。
一个自托管的签名守护进程,带有 REST API、Bootstrap 网页管理后台和 Windows 服务安装程序。构建代理请求签名,密钥提供商完成签名,密钥材料永远不会落到运行器上。
您的流水线在任意代理上编译产物,Windows 或 Linux 均可。
代理通过 TLS 调用 POST /api/v1/sign,携带 bearer API 密钥和一个 X-Project 头部。
服务器访问已配置的密钥提供商。私钥留在 HSM、Azure、AWS、Google Cloud 或 Vault 中。
已签名的二进制文件直接流式返回给代理,响应头中带有签名者主体和耗时。
系统会加上 RFC 3161 时间戳,并把该操作写入 SHA-256 哈希链审计日志,同时提供 Prometheus 指标和 HMAC 签名的 webhook。
Authenticode、ClickOnce、NuGet、VSIX、XAdES、PAdES 和 CAdES 共用同一种端点形态。sgcSign Server 概览 →
同一份 PAdES 签名,三种产生方式。应用签名时选组件,流水线签名时选服务器。
// PAdES with a visible signature and an RFC 3161 timestamp
var
vKeyProvider: TsgcPFXKeyProvider;
vSigner: TsgcPAdESSigner;
vTSA: TsgcTSAClient;
begin
vKeyProvider := TsgcPFXKeyProvider.Create(nil);
vSigner := TsgcPAdESSigner.Create(nil);
vTSA := TsgcTSAClient.Create(nil);
try
vKeyProvider.FileName := 'certificate.pfx';
vKeyProvider.Password := 'secret';
vKeyProvider.LoadFromFile;
vTSA.URL := 'https://freetsa.org/tsr';
vSigner.KeyProvider := vKeyProvider;
vSigner.TSAClient := vTSA;
vSigner.Reason := 'Approved';
vSigner.Location := 'Madrid, Spain';
vSigner.VisibleSignature.Enabled := True;
vSigner.SignPDF('contract.pdf', 'contract-signed.pdf');
finally
vTSA.Free;
vSigner.Free;
vKeyProvider.Free;
end;
end;
# PAdES-sign contract.pdf through sgcSign Server
curl -X POST https://sign.example.com/api/v1/sign/pades \
-H "Authorization: Bearer $TOKEN" \
-H "X-Project: production" \
-F "file=@./contract.pdf" \
-o contract-signed.pdf
# Headers returned by the server
# X-Sgcsign-Signer-Subject: CN=ACME Corp, O=ACME, C=US
# X-Sgcsign-Duration-Ms: 312
name: Sign Release
on: [push]
jobs:
sign:
runs-on: windows-latest
steps:
- uses: esegece/sgcsign-action@v1
with:
server: https://sign.acme.local
project: acme-release
file: myapp.exe
format: authenticode
同一个引擎、同样的密钥提供商、同样的国家配置文件。快速入门 →
sgcSign 是 eSeGeCe 面向 Delphi、C++Builder 和 .NET 的六个组件库之一。它们共享同样的约定,提供完整源代码,并可免版税部署。
文档使用 XAdES、PAdES、CAdES 和 ASiC,代码使用 Authenticode、ClickOnce、NuGet 和 VSIX。十种密钥提供商、21 个国家配置文件,另有 sgcSign Server。
了解更多 →WebSocket、HTTP/2、HTTP/3、MQTT、AMQP、WebRTC、AI 及 30+ API 集成。用同一个签名引擎为 WebSocket 和 MQTT 负载签名。
了解更多 →OpenAPI 3.x 解析器、Pascal SDK 生成器和 OpenAPI 服务器,以及面向 AWS、Azure、Google Cloud 和 Microsoft Graph 的 1,195+ 预构建 SDK。
了解更多 →更新后的 Indy TCP/IP 组件,为 Delphi 7 到 13 提供现代 TLS、IPv6 和 HTTP/2。与 TSA、OCSP 响应者和欧盟验证方之间的可信传输。
了解更多 →一个订阅涵盖整套产品。查看价格,或获取 sgcWebSockets 免费试用版。
受到全球各地 Delphi、C++ Builder、Lazarus 和 .NET 开发者的信赖。
非常感谢你们的帮助和支持,我很喜欢你们的组件。
sgcWebSockets 非常出色,你们的支持也是最棒的!
你们的 sgcWebSockets 库非常实用,而且易于设置。请继续保持!