Důvěryhodný přehled nasazení aplikace
Toto téma obsahuje přehled možností jak nasazovat ClickOnce aplikace, které mají vyšší oprávnění pomocí technologie nasazování důvěryhodných aplikací.
Nasazení důvěryhodných aplikací, součást technologie nasazení ClickOnce, usnadňuje organizacím jakékoli velikosti udělovat další oprávnění do spravované aplikace bezpečnějším a lépe zabezpečeným způsobem bez vyzývání uživatele. S nasazením důvěryhodných aplikací může organizace pouze nakonfigurovat klientský počítač pro obsažení seznamu důvěryhodných vydavatelů, kteří jsou identifikováni pomocí certifikátů technologie Authenticode. Poté jakákoli aplikace ClickOnce podepsaná jedním z těchto důvěryhodných vydavatelů obdrží vyšší úroveň vztahu důvěryhodnosti.
Poznámka
Nasazení důvěryhodných aplikací vyžaduje jednorázovou konfiguraci počítače uživatele. Ve spravovaném prostředí plochy můžete provést tuto konfiguraci pomocí globální zásady. Pokud to není to, co požadujete pro vaši aplikaci, použijte zvýšení oprávnění. Další informace naleznete v tématu Zabezpečení aplikací ClickOnce.
Základní informace o nasazení důvěryhodných aplikací
V následující tabulce jsou uvedeny objekty a role, které jsou zapojeny v důvěryhodných nasazeních aplikací.
Role nebo objekt |
Popis |
|---|---|
administrator |
Organizační entita odpovědná za aktualizace a udržování klientských počítačů |
správce vztahu důvěryhodnosti |
Subsystém v rámci modulu CLR (Common Language Runtime) odpovědná za vynucení zabezpečení klientské aplikace. |
vydavatel |
Entita, která zapisuje a udržuje aplikaci. |
nasazovatel |
Entita, která balí a distribuuje aplikace pro uživatele. |
certifikát |
Kryptografická signatura, která se skládá z veřejného a privátního klíče; obecně vydaná certifikačním úřadem (CA), který dokazuje její pravost. |
Certifikát technologie Authenticode |
Certifikát s vloženými metadaty popisujícími mimo jiné možnosti, pro které lze certifikát použít. |
certifikační autorita |
Organizace, která ověřuje identity vydavatelů a jejich certifikátů, které jsou vydávány vložené s vydavatelskými metadaty. |
kořenová autorita |
Certifikační autorita, který autorizuje jiné certifikační autority k vydávání certifikátů. |
kontejner klíčů |
Prostor logického úložiště pro ukládání certifikátů v systému Microsoft Windows. |
důvěryhodný vydavatel |
Vydavatel, jehož certifikát technologie Authenticode byl přidán do seznamu CTL v klientském počítači. |
Ve větších organizacích jsou vydavatel a nasazovatel často dva samostatné subjekty:
Vydavatel je skupina vytvářející ClickOnce aplikaci.
Nasazovatel je skupina, obvykle oddělení informačních technologií (IT), která distribuuje ClickOnce aplikaci na podnikové stolní počítače.
Musíte se řídit těmito kroky pro využití výhod nasazení důvěryhodných aplikací:
Získat certifikát pro vydavatele.
Přidat vydavatele do úložiště důvěryhodných vydavatelů ve všech klientských počítačích.
Vytvořit vaši ClickOnce aplikaci.
Podepsání manifestu nasazení s certifikátem vydavatele.
Publikování nasazení aplikace na klientské počítače.
Získat certifikát pro vydavatele.
Digitální certifikáty jsou základní komponentou ověřování a zabezpečení systému technologie Microsoft Authenticode. Technologie Authenticode je standardní součástí operačního systému. Všechny ClickOnce aplikace musí být podepsány pomocí digitálního certifikátu bez ohledu na to, zda se účastní v nasazení důvěryhodných aplikací. Úplné vysvětlení, jak technologie Authenticode pracuje s ClickOnce, viz ClickOnce a technologie Authenticode.
Přidání vydavatele do úložiště důvěryhodných vydavatelů
Pro obdržení vyšší úrovně vztahu důvěryhodnosti vaší ClickOnce aplikace, musíte přidat svůj certifikát jako důvěryhodný vydavatel do každého klientského počítače, ve kterém bude aplikace spuštěna. Provedení této úlohy je jednorázová konfigurace. Po jejím dokončení můžete nasadit tolik ClickOnce aplikací podepsaných vaším vydavatelským certifikátem, kolik chcete a všechny budou spouštěny s vysokým vztahem důvěryhodnosti.
Pokud nasazujete aplikace ve spravovaném prostředí plochy; například podnikové síti intranetu běžícím na operačním systému Windows; můžete přidat důvěryhodné vydavatele do úložiště klienta vytvořením nového seznamu CTL se skupinovými zásadami. Další informace naleznete v Vytvoření seznamu dùvìryhodných certifikátù pro objekt Zásady skupiny.
Pokud nenasazujete aplikaci ve spravovaném prostředí plochy, máte následující možnosti pro přidání certifikátu do úložiště důvěryhodných vydavatelů:
Obor názvů System.Security.Cryptography.
CertMgr.exe, který je součástí aplikace Internet Explorer a proto existuje v systému Windows 98 a všech vyšších verzích. Další informace naleznete v tématu Certmgr.exe (Certificate Manager Tool).
Vytvořit aplikaci ClickOnce
Aplikace ClickOnce je .NET Framework klientská aplikace spolu se soubory manifestů, které popisují aplikace a zadávají parametry instalace. Můžete přidat program do aplikace ClickOnce pomocí příkazu Publikovat ve Visual Studio. Alternativně můžete generovat všechny soubory požadované pro ClickOnce nasazení pomocí nástrojů, které jsou součástí Windows Software Development Kit (SDK). Podrobné informace o postupu ClickOnce nasazení, viz Podrobné pokyny: Ruční nasazení aplikace ClickOnce.
Nasazení důvěryhodných aplikací je specifické pro ClickOnce a lze je použít pouze s aplikacemi ClickOnce.
Podepsat nasazení
Po získání certifikátu jej musíte použít pro podpis vašeho nasazení. Pokud zavádíte aplikace pomocí Visual Studio Průvodce publikování, průvodce bude automaticky generovat zkušební certifikát, pokud jste neurčili certifikát sami. Můžete také použít oknoVisual Studio Návrháře projektu pro poskytnutí certifikátu od CA. Další informace naleznete v tématu Postupy: Publikování aplikace ClickOnce pomocí Průvodce publikováním a Jak: publikování aplikace technologie ClickOnce pomocí Průvodce publikováním.
.gif "Poznámka k upozornění") Upozornění |
|---|
Společnost Microsoft nedoporučuje, aby byly aplikace nasazovány s testovacím certifikátem. |
Také můžete aplikace podepsat pomocí nástrojů SDK Mage.exe nebo MageUI.exe. Další informace naleznete v tématu Podrobné pokyny: Ruční nasazení aplikace ClickOnce. Úplný seznam možností příkazového řádku týkající se podepisování nasazení naleznete v tématu Mage.exe (Manifest Generation and Editing Tool).
Publikujte aplikaci
Jakmile jste podepsali vaše manifesty ClickOnce, aplikace je připravena k publikování do vašeho umístění instalace. Umístění instalace může být webový server, sdílení souborů nebo místní disk. Když klient přistupuje k manifestu nasazení poprvé, musí správce vztahu důvěryhodnosti rozhodnout, zda aplikace ClickOnce byla povolena autoritou nebo ji nenecháte spouštět na vyšší úrovni vztahu důvěryhodnosti nainstalovaného důvěryhodného vydavatele. Správce vztahu důvěryhodnosti umožňuje tuto volbu porovnání certifikátu použitého k podepsání nasazení s certifikáty uloženými v klientově úložišti důvěryhodných vydavatelů. Pokud správce vztahu důvěryhodnosti najde shodu, aplikace bude spuštěna s vysokým vztahem důvěryhodnosti.
Nasazení důvěryhodných aplikací a zvýšení oprávnění
Pokud není aktuální vydavatel důvěryhodným vydavatelem, použije správce zvýšení vztahu důvěryhodnosti oprávnění k dotázání uživatele, zda chce aplikaci udělit vyšší oprávnění. Je-li zvýšení oprávnění zakázáno správcem, aplikace nemůže získat oprávnění ke spuštění. Aplikace se nespustí a nezobrazí se žádné oznámení uživateli. Další informace o zvýšení úrovně oprávnění naleznete v tématu Zabezpečení aplikací ClickOnce.
Omezení nasazení důvěryhodné aplikace
Pomocí vztahu důvěryhodnosti nasazení aplikací můžete udělit zvýšený vztah důvěryhodnosti aplikaci ClickOnce nasazené přes web nebo prostřednictvím sdílené síťové položky podniku. Není nutné používat nasazení důvěryhodných aplikací pro aplikace ClickOnce distribuované na disku CD, protože ve výchozím nastavení je těmto aplikacím udělen úplný vztah důvěryhodnosti.
Viz také
Úkoly
Podrobné pokyny: Ruční nasazení aplikace ClickOnce