sgcSign

Digitale-handtekeningensuite van enterpriseniveau voor Delphi, C++Builder en .NET. Produceert XAdES-, PAdES-, CAdES- en ASiC-handtekeningen vanuit 10 sleutelproviders en 21 vooraf geconfigureerde landprofielen — beschikbaar als in-process componentbibliotheek of als self-hosted remote signing-daemon voor build farms.

XAdES / PAdES / CAdES / ASiC
10 sleutelproviders
21 landprofielen
EU eIDAS-conform
TWEE VORMEN, ÉÉN ENGINE

Bibliotheek of server — dezelfde ondertekenkern

sgcSign wordt geleverd in twee complementaire vormen die dezelfde ondertekenengine, sleutelproviders en landprofielen delen. Kies de embedded bibliotheek, de gecentraliseerde server, of gebruik beide samen.

sgcSign-componentbibliotheek

Drop-in Delphi-/C++Builder-/.NET-componenten die XAdES-, PAdES-, CAdES- en ASiC-handtekeningen direct in je toepassing produceren. Native CNG/BCrypt-cryptografie, geen externe DLL's, volledige broncode inbegrepen.

Bibliotheekfuncties →

sgcSign Server

Self-hosted remote signing-daemon — REST API, Bootstrap-webadmin, Windows-service-installer. Voegt Authenticode-, ClickOnce-, NuGet- en VSIX-ondertekening toe boven op de documentformaten. Kant-en-klare GitHub Actions-, Azure DevOps-, Jenkins-, Docker- en Helm-pipelines.

Serveroverzicht →
HANDTEKENING-STANDAARDEN

Elk ETSI-formaat, van B-B tot B-LTA

Volledige dekking van de vier ETSI-handtekeningfamilies plus Microsoft Authenticode voor PE-binaries. Alle vier AdES-niveaus worden ondersteund.

</>

XAdES

ETSI EN 319 132 — XML Advanced Electronic Signatures

Enveloped-, detached- en enveloping-handtekeningen over XML. Niveaus B-B / B-T / B-LT / B-LTA. Poolse, Spaanse en Duitse diakritische tekens gaan zonder verlies heen en weer via WideString-overloads op Delphi 7+.

PAdES

ETSI EN 319 142 — PDF Advanced Electronic Signatures

Embed digitale handtekeningen in PDF-documenten. Zichtbare handtekening met naam van de ondertekenaar, reden, locatie, contactgegevens en configureerbare rechthoek. Compatibel met Adobe Acrobat.

CAdES

ETSI EN 319 122 — CMS/PKCS#7 Advanced Electronic Signatures

CMS-/PKCS#7-binaire handtekeningen over elk bestand of elke datastroom. Detached en attached vormen. BES-, T- en XL-conformiteitsniveaus.

ASiC-S / ASiC-E

ETSI EN 319 162 — Associated Signature Containers

Bundel een of meer documenten en de bijbehorende XAdES- of CAdES-handtekening in één ZIP-archief. Simple (één document) of Extended (manifest + meerdere documenten).

Authenticode + ClickOnce + NuGet + VSIX

Code signing — sgcSign Server

Onderteken Windows PE-bestanden (.exe, .dll, .sys, .ocx), ClickOnce-manifests, NuGet-packages en VSIX-bundels. SHA-256 (standaard), SHA-384, SHA-512 en dual-signing voor legacy-compatibiliteit.

10 SLEUTELPROVIDERS

Lokale bestanden, hardware-tokens, cloud-KMS

Elke provider implementeert dezelfde IsgcKeyProvider-interface, zodat signers met elke sleutelbron werken zonder aanpassing. Schakel van een PFX-bestand naar AWS KMS door één component te wijzigen.

PFX / PKCS#12

TsgcPFXKeyProvider

Lokale, met wachtwoord beveiligde PFX-bestanden. Native Windows CNG-ondersteuning; geen OpenSSL-DLL vereist.

PEM-bestanden

TsgcPEMKeyProvider

PEM-encoded certificaten en versleutelde PKCS#8-private keys. Native PBES2-/PBKDF2-/AES-CBC-decryptie — geen externe bibliotheek vereist.

Windows-certificaatopslag

TsgcWindowsCertStoreProvider

Certificaatopslag van de lokale machine en de huidige gebruiker. Naadloze integratie met Windows PKI en Active Directory.

PKCS#11-hardware-tokens

TsgcPKCS11Provider

Smartcards en HSM's via de standaard PKCS#11-interface — SafeNet, YubiKey, Nitrokey en elke leverancier met een PKCS#11-driver.

Azure Trusted Signing

TsgcAzureTrustedSigningProvider

De gekwalificeerde ondertekenservice van Microsoft. OAuth2-client-credentials; private keys verlaten Azure nooit. Onderscheiden van Azure Key Vault.

AWS KMS

TsgcAWSKMSKeyProvider

AWS Key Management Service. Onderteken met sleutels die in AWS worden bewaard; de document-hash wordt verstuurd, de rauwe handtekening komt terug.

Google Cloud KMS

TsgcGCloudKMSKeyProvider

Google Cloud Key Management. Service-account-authenticatie met sleutels gehost in Google Cloud.

HashiCorp Vault

TsgcHashiCorpVaultKeyProvider

Vault transit signing engine. Sleutels blijven in Vault; document-hashes worden over een geauthenticeerde REST-API verstuurd.

Certum SimplySign

TsgcCertumSimplySignProvider

Gekwalificeerde Poolse e-signature-provider. Cloud-gebaseerde remote signing voor KSeF, ZUS en andere Poolse overheidsportalen.

CSC v2 (Cloud Signature Consortium)

TsgcCSCKeyProvider

Generieke CSC v2-client voor remote QTSP's — Universign, D-Trust sign-me, A-Trust, FNMT Cl@ve Firma, Evrotrust, Intesi Group en meer.

21 VOORAF GECONFIGUREERDE LANDPROFIELEN

Europese e-facturatie & arbeidsovereenkomsten

Elk profiel stemt het hash-algoritme, de canonicalization, het handtekeningniveau, de timestamp en het OCSP-intrekkingsbeleid vooraf af op de regulator van het doelland. Wissel van jurisdictie met een wijziging van één regel.

E-facturatieprofielen (12)

Profiel Land Systeem Formaat Niveau
spVeriFactuSpanjeVeriFactu (AEAT)XAdES-EPESB-B
spTicketBAISpanje (Baskenland)TicketBAIXAdES-EPESB-B
spFacturaeB2BSpanjeFacturae 3.x / FACeXAdES-EPESB-T
spFatturaPAItaliëFatturaPA (SDI)XAdES-BESB-B
spSAFTPTPortugalSAF-T PTRSA-SHA256B-B
spKSeFPolenKSeF (Krajowy System e-Faktur)XAdESB-T
spFacturXFrankrijk / DuitslandFactur-X / ZUGFeRDXAdESB-B
spEFacturaRoemeniëe-Factura (ANAF)XAdESB-T
spNAVOnlineHongarijeNAV OnlineXML-DSigB-B
spFiskalizacijaKroatiëFiskalizacijaXML-DSigB-B
spPeppolBE / spPeppolBGEU (België, Bulgarije)Peppol UBL 2.xXAdESB-T
spMyDATAGriekenlandmyDATA (AADE)XAdESB-B

EU-arbeidsovereenkomstprofielen (9)

eIDAS-conforme handtekeningen voor lidstaatspecifieke arbeidsrechtelijke vereisten voor arbeidsovereenkomsten. Vooraf afgestemd op het AdES-/QES-niveau, hash, canonicalization, timestamp en OCSP-intrekkingsbeleid van elke jurisdictie. Geaccepteerd door verificateurs van arbeidsadministraties.

Duitsland — spEmploymentDE

Niveau B-LT, QES vereist door § 126a BGB voor schriftelijke contracten (bv. bepaalde tijd > 24 maanden, post-contractueel concurrentiebeding).

Italië — spEmploymentIT

Niveau B-LT, FEQ gekwalificeerde handtekening. CAdES (.p7m) wordt veel gebruikt; XAdES wordt geaccepteerd. INPS-portalen verwerken beide.

Spanje — spEmploymentES

Niveau B-T, AdES volstaat. SEPE-/TGSS-portalen vereisen een FNMT- of DNIe-certificaat; CRL via FNMT-trustlijst.

Frankrijk — spEmploymentFR

Niveau B-T, AdES is voldoende. QES heeft de voorkeur voor remote-signing-flows onder DSP2 / RGS.

Oostenrijk — spEmploymentAT

Niveau B-LT. QES via Handy-Signatur / ID Austria gebruikelijk.

België — spEmploymentBE

Niveau B-LT. QES via eID-kaart (BeID).

Portugal — spEmploymentPT

Niveau B-LT. QES via Cartão do Cidadão / Chave Móvel Digital.

Nederland — spEmploymentNL

Niveau B-T. AdES wordt over het algemeen geaccepteerd; QES voor sommige HR-portalen (UWV).

Polen — spEmploymentPL

Niveau B-T. QES via Profil Zaufany of gekwalificeerd certificaat wanneer het contract naar ZUS / PUE gaat.

VALIDATIE & VERTROUWEN

EU-trustlijst, ETSI-validatierapporten & LTV

sgcSign verifieert handtekeningen op dezelfde manier als de EU dat doet — tegen de live LOTL, met een gestandaardiseerd XML-rapport dat arbeidsrechtbanken en openbare administraties als wettig bewijs accepteren.

Handtekeningverificatie met LTV

Volledige validatiepipeline — digest-checks, RSA-/ECDSA-handtekeningverificatie, certificaatketenvalidatie, OCSP-intrekkingscontrole, ingebouwde RevocationValues voor Long-Term Validation, Id-gebaseerde fragmentlookup voor SignedProperties.

EU-trustlijst (LOTL / EUTL)

TsgcEUTrustList parseert de ETSI TS 119 612 List of Trusted Lists en ~31 trustlijsten per lidstaat. Classificeer elk X.509-certificaat als eIDAS-gekwalificeerd door de uitgevende TSP-service tegen het live EU-register te controleren.

ETSI TS 119 102-2-validatierapport

Gestandaardiseerd XML-validatierapport (v1.2.1) dat voor elke verificatie wordt geproduceerd — geaccepteerd door EU-arbeidsrechtbanken en verificateurs van openbare administraties als wettig bewijs van geldigheid van de handtekening.

RFC 3161-timestamping

Ingebouwde TsgcTSAClient voor elke RFC 3161-timestamp-autoriteit. Promoveert handtekeningen naar XAdES-T, XAdES-LT en XAdES-LTA — verifieerbaar lang nadat het ondertekencertificaat is verlopen.

CODEVOORBEELDEN

Van lokale PFX naar cloud-KMS — dezelfde API

Onderteken een VeriFactu-factuur met een lokale PFX

  • Laad certificaat uit PFX met wachtwoord
  • VeriFactu-profiel automatisch toegepast
  • Eén methode-aanroep retourneert ondertekend XML
SignVeriFactu.pas 
// Sign Spanish VeriFactu invoice
var
  vKeyProvider: TsgcPFXKeyProvider;
  vSigner: TsgcDocumentSigner;
begin
  vKeyProvider := TsgcPFXKeyProvider.Create(nil);
  try
    vKeyProvider.FileName := 'certificate.pfx';
    vKeyProvider.Password := 'secret';
    vKeyProvider.LoadFromFile;

    vSigner := TsgcDocumentSigner.Create(nil);
    try
      vSigner.KeyProvider := vKeyProvider;
      vSigner.Profile := spVeriFactu;
      memoSigned.Text := vSigner.SignXML(memoXML.Text);
    finally
      vSigner.Free;
    end;
  finally
    vKeyProvider.Free;
  end;
end;

Onderteken een EXE met Authenticode via Azure Trusted Signing

  • Geen lokale PFX, geen USB-token
  • Private key blijft in Azure
  • Door Microsoft uitgegeven public-trust-certificaat
SignWithAzure.pas 
// Authenticode-sign with Azure Trusted Signing
var
  vKeyProvider: TsgcAzureTrustedSigningProvider;
  vSigner: TsgcAuthenticodeSigner;
begin
  vKeyProvider := TsgcAzureTrustedSigningProvider.Create(nil);
  vSigner := TsgcAuthenticodeSigner.Create(nil);
  try
    vKeyProvider.AccountName := 'my-trusted-signing-account';
    vKeyProvider.CertificateProfileName := 'public-trust';
    vKeyProvider.Endpoint := 'https://eus.codesigning.azure.net';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.SignFile('myapp.exe', 'myapp-signed.exe');
  finally
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;

PAdES-LT — zichtbare handtekening met timestamp

  • Certificaat uit de Windows-store
  • RFC 3161-TSA promoveert tot PAdES-T
  • Zichtbare handtekening met reden & locatie
SignPDFVisible.pas 
// PAdES-T with visible signature appearance
var
  vKeyProvider: TsgcWindowsCertStoreProvider;
  vSigner: TsgcPAdESSigner;
  vTSA: TsgcTSAClient;
begin
  vKeyProvider := TsgcWindowsCertStoreProvider.Create(nil);
  vSigner := TsgcPAdESSigner.Create(nil);
  vTSA := TsgcTSAClient.Create(nil);
  try
    vKeyProvider.SubjectName := 'CN=Acme Corp';
    vKeyProvider.LoadFromStore;

    vTSA.URL := 'https://freetsa.org/tsr';

    vSigner.KeyProvider := vKeyProvider;
    vSigner.TSAClient := vTSA;
    vSigner.Reason := 'Approved';
    vSigner.Location := 'Madrid, Spain';
    vSigner.VisibleSignature.Enabled := True;
    vSigner.SignPDF('contract.pdf', 'contract-signed.pdf');
  finally
    vTSA.Free;
    vSigner.Free;
    vKeyProvider.Free;
  end;
end;
SGCSIGN SERVER

Gecentraliseerd ondertekenen voor je build farm

Heb je gecentraliseerd ondertekenen nodig voor je build-pipeline? sgcSign Server verpakt dezelfde engine achter een REST-API en Bootstrap-webadmin — Windows-service-installer, kant-en-klare GitHub Actions-/Azure DevOps-/Jenkins-/Docker-/Helm-pipelines, multi-tenant-projectmodel, twee-staps-goedkeuringsworkflow, SHA-256 hash-chained audit log, Prometheus-metrics en HMAC-ondertekende webhooks.

  • Authenticode-, ClickOnce-, NuGet- en VSIX-ondertekening
  • REST-API, webadmin, Windows-service-installer
  • Alle functies standaard inbegrepen
Meer over sgcSign Server
github-actions.yml 
name: Sign Release
on: [push]

jobs:
  sign:
    runs-on: windows-latest
    steps:
      - uses: esegece/sgcsign-action@v1
        with:
          server: https://sign.acme.local
          project: acme-release
          file: myapp.exe
          format: authenticode

Lever vandaag nog eIDAS-conforme handtekeningen

Voeg XAdES-, PAdES-, CAdES- en ASiC-ondertekening toe aan je Delphi-, C++Builder- of .NET-toepassing — of zet een gecentraliseerde ondertekenservice op voor je build farm.

Download gratis proefversie Bekijk prijzen