Een neutraal, met bronnen onderbouwd overzicht van de code-ondertekentools en documentondertekentools voor Delphi- en C++ Builder-ontwikkelaars in 2026: sgcSign, Microsoft SignTool, osslsigncode, Azure Trusted Signing, DigiCert Software Trust Manager, jsign, Adobe Acrobat en de iText-/Apryse-PDF-SDK's. Elke functieclaim verwijst naar de eigen documentatie van het project.
Een samenvatting van één alinea per optie, met een link naar de officiële documentatie of repository. De gedetailleerde vergelijking staat in de matrix hieronder.
eSeGeCe · Commercial
Commerciële digitale-handtekeningsuite voor Delphi, C++ Builder en .NET. Geleverd in twee complementaire vormen die dezelfde ondertekenkern delen. De componentbibliotheek produceert in-process XAdES-, PAdES-, CAdES- en ASiC-handtekeningen vanaf Delphi 7 tot en met Delphi 13. sgcSign Server voegt een self-hosted REST-ondertekeningsdaemon toe die Authenticode (PE-binaries), ClickOnce-manifests, NuGet-packages, VSIX-bundles en PowerShell-scripts ondertekent bovenop de documentformaten. Tien sleutelproviders dekken lokale PFX/PEM, de Windows-certificaatstore, PKCS#11-hardwaretokens, AWS KMS, Azure Trusted Signing, Google Cloud KMS, HashiCorp Vault, Certum SimplySign en elke remote CSC v2-QTSP. Eenentwintig voorgeconfigureerde landprofielen sturen Europese e-facturatie en eIDAS-arbeidscontract-ondertekening aan.
Microsoft · Windows SDK EULA (free for development)
Microsofts command-line-code-signing-tool die wordt meegeleverd met de Windows 10-/Windows 11-SDK. Ondertekent en tijdstempelt Windows Portable Executable-bestanden (.exe, .dll, .sys, .cab, .cat), plus AppX-/MSIX-packages, ClickOnce-manifests en Microsoft Office Visual Basic for Applications-projecten via het SIP-mechanisme (Subject Interface Package). Leest certificaten uit de Windows-certificaatstore, PKCS#12-bestanden, smartcards en Cloud Signing Service-providers (CSP). PDF-, XML- en ETSI XAdES-/PAdES-/CAdES-ondertekening vallen buiten het bereik van SignTool.
Michał Trojnara & contributors · GPL-3.0-or-later (open source)
Open-source, platformonafhankelijke Authenticode-ondertekentool gebouwd op OpenSSL. Ondertekent Microsoft PE-binaries (.exe, .dll, .sys, .cab, .cat), CAB-archieven, AppX-/MSIX-packages, NuGet-packages en scriptbestanden. Draait naast Windows ook op Linux, BSD en macOS, wat de historische reden voor het project is — zo kunnen Linux-build-farms Windows-binaries ondertekenen zonder SignTool onder Wine te draaien. RFC 3161 en legacy Authenticode-tijdstempeling; certificaatbronnen omvatten PKCS#12-bestanden en PKCS#11-hardwaretokens.
Microsoft · Commercial (Azure subscription, per-month)
Microsofts volledig beheerde code-signing-service in Azure (voorheen Azure Code Signing). Klanten zijn niet de eigenaar van het ondertekeningscertificaat — Microsoft geeft elke drie dagen een kortlevend certificaat uit en bewaart de private sleutel in een Azure-HSM. Integraties zijn beschikbaar voor SignTool, GitHub Actions, Azure Pipelines, Trusted Signing PowerShell en een speciale dlib (Trusted Signing CSP) die de sleutels beschikbaar maakt voor elke CSP-bewuste tool. Ondertekent Windows PE, MSIX, AppX, ClickOnce, VBScript-/JScript-/PowerShell-scripts; PDF-/XML-ondertekening valt buiten de scope.
DigiCert · Commercial (subscription)
DigiCerts cloud-code-signing-platform. Private sleutels leven in een door DigiCert gehoste FIPS 140-2-/140-3-HSM. Onderteken Windows PE, Java JAR, Android APK, Linux RPM/DEB, container-images, NuGet, Apple Mach-O-binaries en meer via een reeks speciale tools: de smctl-ondertekeningsclient, de DigiCert KSP-/CSP-plug-in voor SignTool, native integraties voor Jenkins, GitHub Actions en Azure Pipelines, plus een REST-API. Documenten (PDF, XAdES) worden ondertekend via het aparte product DigiCert Document Trust Manager.
Emmanuel Bourg · Apache 2.0 (open source)
Open-source, Java-gebaseerde Authenticode-ondertekentool. Draait als zelfstandig commando, als Maven-/Gradle-/Ant-plug-in of als programmatische Java-API. Ondertekent Microsoft PE-binaries, MSI-installers, Microsoft-scriptbestanden (.ps1, .vbs, .js), MSIX-/AppX-packages, CAB-archieven en CAT-catalogi. Ondersteunt een breed scala aan cloud-HSM's via één enkele CLI: AWS KMS, Azure Key Vault, Azure Trusted Signing, Google Cloud KMS, DigiCert ONE, HashiCorp Vault, Oracle Cloud KMS, Yubico YubiHSM, AWS CloudHSM (via PKCS#11) en elk PKCS#11-apparaat.
Adobe · Commercial (subscription)
Adobe Acrobat Pro en Adobe Acrobat Sign zijn eindgebruikerproducten voor het ondertekenen van PDF-documenten. Acrobat Pro plaatst digitale handtekeningen en gecertificeerde handtekeningen met tijdstempels en valideert binnenkomende PDF-handtekeningen; Acrobat Sign (voorheen EchoSign) is een clouddienst voor het verzamelen van elektronische handtekeningen van externe partijen. Geen van beide is een developer-bibliotheek: er is geen Delphi-/C++ Builder-SDK en geen command-line-ondertekentool in de doos. PAdES Long-Term Validation wordt aan de validatiezijde ondersteund via de Adobe Approved Trust List (AATL) en de European Union Trusted List (EUTL).
iText Group / Apryse Software (PDFTron) · Commercial (AGPL or commercial license)
Twee commerciële PDF-SDK's die veel worden gebruikt voor onbewaakte PDF-ondertekening in server-side-applicaties. iText Core (voorheen iTextSharp) is beschikbaar voor Java en .NET onder AGPL-3.0 of een commerciële licentie; de com.itextpdf.signatures-namespace dekt PAdES-B-B/B-T/B-LT/B-LTA, MDP-certificeringen (modification-detection) en zichtbare verschijningsvormen. Apryse PDFTron is een commerciële, platformonafhankelijke SDK (Java, .NET, C++, Node.js, Python, Go, iOS, Android, web) met een PDF.SignatureHandler-API en PAdES-ondersteuning. Geen van beide leveranciers biedt een native Delphi-binding.
Een vinkje () betekent dat het project native ondersteuning documenteert. Een streepje (—) betekent dat het project dit niet native biedt. Een tilde (~) betekent gedeeltelijk / via add-on / niet expliciet gedocumenteerd — zie de Bronnen-sectie voor wat we hebben kunnen verifiëren.
| Functie | sgcSign | Microsoft SignTool | osslsigncode | Azure Trusted Signing | DigiCert Software Trust Manager | jsign | Adobe Acrobat / Adobe Sign | iText / Apryse |
|---|---|---|---|---|---|---|---|---|
| Windows-binaries ondertekenen Authenticode voor .exe / .dll / .sys / .ocx | — | — | ||||||
| ClickOnce-manifests ondertekenen .application-/.manifest-bestanden | ~ | ~ | — | — | ||||
| NuGet-/VSIX-packages ondertekenen .nupkg-/.vsix-containers | ~ | ~ | ~ | ~ | — | — | ||
| Mobiele packages ondertekenen (APK / IPA) Android-APK- of iOS-IPA-bundles | — | — | — | — | — | — | — | |
| PDF-documenten ondertekenen (PAdES) ETSI EN 319 142, Adobe-compatibel | — | — | — | ~ | — | |||
| Office-documenten ondertekenen Word/Excel/PowerPoint-docx/xlsx/pptx | — | ~ | — | — | — | — | — | — |
| XML-documenten ondertekenen (XAdES) ETSI EN 319 132 | — | — | — | ~ | — | — | ~ | |
| Native Delphi-/C++ Builder-API Volwaardige VCL-/FMX-componenten | — | — | — | — | — | — | — | |
| Platformonafhankelijke tooling Draait op Windows, Linux en macOS | ~ | — | ~ | |||||
| Cloud-HSM-ondersteuning AWS / Azure / GCP / HashiCorp / CSC v2 | ~ | ~ | ~ | ~ | ||||
| eIDAS- / landprofiel-presets Ondertekenings-presets per land (VeriFactu, KSeF, enzovoort) | — | — | — | ~ | — | ~ | ~ | |
| Standalone-CLI Command-line-client meegeleverd | ~ | — | — | |||||
| Bibliotheek / SDK Programmatische API die een applicatie kan aanroepen | — | — | ~ | ~ | ~ | — | ||
| Actief onderhoud Release of getagde activiteit in de laatste 12–18 maanden | ||||||||
| Licentiemodel Licentietype | Commercial | Windows SDK EULA | GPL-3.0-or-later | Commercial (Azure subscription) | Commercial (subscription) | Apache 2.0 | Commercial (subscription) | AGPL or Commercial (iText) / Commercial (Apryse) |
Elke optie hier heeft een reële doelgroep. De juiste keuze hangt ervan af of je code, documenten of beide ondertekent, welke runtime de ondertekenlogica host, je voorkeur voor sleutelopslag en je licentievoorkeur.
Kies sgcSign wanneer je de applicatie bouwt in Delphi 7–13, C++ Builder of .NET en één componentsuite wilt die zowel documenthandtekeningen (XAdES, PAdES, CAdES, ASiC) als code-handtekeningen (Authenticode, ClickOnce, NuGet, VSIX, PowerShell) produceert vanuit dezelfde sleutelprovider-abstractie. De 21 voorgeconfigureerde landprofielen dekken Europese e-facturatie en eIDAS-arbeidscontract-ondertekening; de servervorm centraliseert het sleutelbeheer voor build-farms.
Kies Microsoft SignTool wanneer de artefacten die je ondertekent allemaal Windows-binaries zijn (PE / .cab / AppX / MSIX) en de build-host Windows draait. SignTool is de referentie-command-line-interface die past bij elke clouddienst voor ondertekening die een CSP/KSP levert (DigiCert KeyLocker, Azure Trusted Signing, GlobalSign Atlas, enzovoort), en de installatie van de Windows-SDK is gratis.
Kies osslsigncode wanneer je build-host op Linux, BSD of macOS draait en de te ondertekenen artefacten Windows-binaries zijn — CAB-archieven, PE-bestanden, MSIX-packages of NuGet-packages. De GPL-3.0-licentie past natuurlijk binnen CI-pipelines die al OpenSSL en PKCS#11-hardwaretokens gebruiken.
Kies Azure Trusted Signing wanneer je een volledig beheerde Windows-code-signing-service wilt waarbij Microsoft eigenaar is van het certificaat en de HSM, wanneer je team al op Azure werkt en wanneer de te ondertekenen artefacten Windows PE, MSIX, AppX, ClickOnce of PowerShell zijn. Het kortlevende certificaatmodel haalt de last van vernieuwing en identiteitsverificatie weg die hoort bij het bezitten van een Code Signing-certificaat.
Kies DigiCert Software Trust Manager wanneer je het DigiCert-code-signing-certificaat al afneemt en het wilt opslaan in hun FIPS-gevalideerde HSM, met één centraal scherm voor verlengingen, intrekkingen en audits. De native smctl-client en de SignTool-KSP-plug-in dekken Windows-binaries, Java-JAR's, container-images en mobiele packages vanuit één workflow.
Kies jsign wanneer de build-pipeline al draait op een JVM-toolchain (Maven, Gradle, Ant of Jenkins op JDK), wanneer je één CLI wilt die elke mainstream-cloud-HSM aanstuurt en wanneer de te ondertekenen artefacten Windows-PE-/MSI-/MSIX-/scriptbestanden zijn. De Apache-2.0-licentie past netjes in closed-source-buildflows.
Kies Adobe Acrobat / Adobe Sign wanneer de ondertekenworkflow interactief en door mensen aangestuurd is — iemand opent een PDF in Acrobat, plaatst een zichtbare handtekening en verstuurt het bestand. Acrobat Sign breidt dat patroon uit naar meerpartijen-ondertekenflows via e-mail. Er is geen build-time- of server-side-automatisering vereist.
Kies iText of Apryse PDFTron wanneer de applicatie is gebouwd op Java, .NET, C++ of een van de andere ondersteunde runtimes en PDF het dominante documentformaat is. Beide SDK's hebben volwassen PAdES-ondersteuning, brede PDF-functionaliteit buiten ondertekening (formulieren, redactie, rendering) en bekende enterprise-referenties.
Korte notities over de verschillen als je overstapt van een van de bovenstaande opties. Niet polemisch — gewoon de praktische mapping.
SignTool dekt alleen Windows-code-signing. Als je applicatie SignTool al vanuit een buildscript aanroept, biedt sgcSign Server een REST-ondertekeningsendpoint dat een binary en een providernaam ontvangt en het ondertekende artefact teruggeeft — dezelfde workflow, maar de Authenticode-bewerking draait centraal en de resulterende audit-trail, goedkeuringsworkflow en quota per project staan op één plek. Documentondertekening (XAdES / PAdES / CAdES / ASiC) is dan beschikbaar vanuit dezelfde daemon.
Als je build-pipeline osslsigncode gebruikt om Windows-binaries Authenticode-te ondertekenen vanaf Linux-build-agents, geeft sgcSign Server je dezelfde flow via een HTTPS-API en voegt het volwaardige drivers toe voor AWS KMS, Azure Trusted Signing, Google Cloud KMS en HashiCorp Vault bovenop het PKCS#11-pad dat je mogelijk al gebruikt. Documentformaten (PDF / XML / CMS) zijn dan beschikbaar vanuit hetzelfde endpoint.
sgcSign biedt Azure Trusted Signing als een van zijn tien sleutelproviders aan (TsgcAzureTrustedSigningProvider), zodat een Delphi- of C++ Builder-applicatie Azure Trusted Signing rechtstreeks kan aansturen — dezelfde private sleutel, hetzelfde door Microsoft uitgegeven public-trust-certificaat, maar de signer draait in-process. Als je ook PDF-/XAdES-/CAdES-documentondertekening nodig hebt, bedient dezelfde sleutelprovider de document-signers.
Als je vandaag Windows-binaries ondertekent met smctl, kan sgcSign Server hetzelfde code-signing-certificaat aansturen via de PKCS#11-provider die DigiCert biedt, en voegt daar volwaardige XAdES-/PAdES-/CAdES-documentondertekening aan toe — handig wanneer een applicatie zowel code- als documenthandtekeningen vanuit één daemon nodig heeft.
jsign dekt Windows-code-signing over een breed scala aan cloud-HSM's. sgcSign Server overlapt op de cloud-HSM-matrix (AWS KMS, Azure Trusted Signing, Google Cloud KMS, HashiCorp Vault) en voegt ETSI-documentondertekening toe (PAdES, XAdES, CAdES, ASiC) plus de 21 landprofielen — handig wanneer dezelfde sleutel zowel code- als documenthandtekeningen moet produceren.
Adobe Acrobat is een eindgebruikertool, geen developer-bibliotheek. Als je momenteel eindgebruikers vraagt PDF's in Acrobat te ondertekenen en je nu onbewaakte server-side-PAdES-handtekeningen wilt, biedt sgcSign de PDF-signer (TsgcPAdESSigner) plus de tijdstempel- en OCSP-clients om PAdES-T- en PAdES-LT-handtekeningen te produceren vanuit een build-pipeline of backend-service.
iText en Apryse bieden geen native Delphi-binding, dus Delphi-applicaties wikkelen hun .NET- of Java-SDK doorgaans achter een dunne bridge. sgcSign produceert PAdES-B-B-/B-T-/B-LT-handtekeningen vanuit native Delphi- en C++ Builder-code — de bridge-laag verdwijnt, en dezelfde sleutelprovider-keten die PDF's ondertekent, ondertekent ook XML-, CMS- en Authenticode-artefacten.
Elke cel in de matrix hierboven is herleidbaar tot een van deze officiële documentatiepagina's, repositories of release notes. Alle URL's zijn op het moment van schrijven met een HEAD-check geverifieerd.