Trusted Application Deployment Overview
Dieser Artikel wurde manuell übersetzt. Bewegen Sie den Mauszeiger über die Sätze im Artikel, um den Originaltext anzuzeigen. Weitere Informationen
Übersetzung
Original

Trusted Application Deployment Overview

 

This topic provides an overview of how to deploy ClickOnce applications that have elevated permissions by using the Trusted Application Deployment technology.

Die Bereitstellung einer vertrauenswürdigen Anwendung, Teil der ClickOnce-Bereitstellungstechnologie, erleichtert es Organisationen jeder Größe, einer verwalteten Anwendung zusätzliche Berechtigungen auf sichere Weise ohne Benutzereingabe zu gewähren.Mit der Bereitstellung einer vertrauenswürdigen Anwendung kann eine Organisation einfach einen Clientcomputer so konfigurieren, dass er über eine Liste der vertrauenswürdigen Herausgeber verfügt, die mithilfe von Authenticode-Zertifikaten identifiziert werden.Danach erhält jede ClickOnce-Anwendung, die durch einen dieser vertrauenswürdigen Herausgeber signiert wurde, eine höhere Vertrauensebene.

System_CAPS_noteHinweis

Die Bereitstellung einer vertrauenswürdigen Anwendung erfordert eine einmalige Konfiguration des Computer des Benutzers.In verwalteten Desktopumgebungen kann diese Konfiguration mithilfe von globalen Richtlinien ausgeführt werden.Ist dies für Ihre Anwendung nicht wünschenswert, verwenden Sie stattdessen die Berechtigungserweiterung.Weitere Informationen finden Sie unter Securing ClickOnce Applications.

Die folgende Tabelle zeigt die Objekte und die Rollen, die an der Bereitstellung einer vertrauenswürdigen Anwendung beteiligt sind.

Objekt oder Rolle

Beschreibung

administrator

Die Entität in der Organisation, die verantwortlich für das Aktualisieren und Verwalten von Clientcomputern ist

trust manager

Das Subsystem innerhalb der Common Language Runtime (CLR), das verantwortlich für das Erzwingen der Anwendungssicherheit auf Clientcomputern ist.

publisher

Die Entität, die die Anwendung schreibt und verwaltet.

deployer

Die Entität, die Anwendung für Benutzer packt und an diese verteilt.

certificate

Eine kryptografische Signatur, die aus einem öffentlichen und einem privaten Schlüssel besteht; wird im Allgemeinen von einer Zertifizierungsstelle (CA) ausgegeben, die für seine Echtheit bürgen kann.

Authenticode certificate

Ein Zertifikat mit eingebetteten Metadaten, das unter anderem die Verwendungsmöglichkeiten für das Zertifikat beschreibt.

certification authority

Eine Organisation, die die Identität eines Herausgebers überprüft und Zertifikate ausstellt, die in den Herausgebermetadaten eingebettet sind.

Stammzertifizierungsstelle

Eine Zertifizierungsstelle, die andere Zertifizierungsstellen zum Ausstellen von Zertifikaten autorisiert.

key container

Ein logischer Speicherplatz in Microsoft Windows zum Speichern von Zertifikaten.

trusted publisher

Ein Herausgeber, dessen Authenticode-Zertifikat zu einer Zertifikatsvertrauensliste (CTL) auf einem Clientcomputer hinzugefügt wurde.

In größeren Organisationen sind Herausgeber und Bereitsteller häufig zwei separate Entitäten:

  • Der Herausgeber ist die Gruppe, die die ClickOnce-Anwendung erstellt.

  • Der Bereitsteller ist die Gruppe, in der Regel der IT-Abteilung, die die ClickOnce-Anwendung auf Desktopcomputern im Unternehmen verteilt.

Führen Sie die folgenden Schritte aus, um die Bereitstellung einer vertrauenswürdigen Anwendung zu nutzen:

  1. Rufen Sie ein Zertifikat für den Herausgeber ab.

  2. Fügen Sie den Herausgeber zum Speicher für vertrauenswürdige Herausgeber auf allen Clients hinzu.

  3. Erstellen Sie Ihre ClickOnce-Anwendung.

  4. Signieren Sie das Bereitstellungsmanifest mit dem Zertifikat des Herausgebers.

  5. Veröffentlichen Sie die Anwendungsbereitstellung auf Clientcomputern.

Digitale Zertifikate sind eine Kernkomponente des Microsoft Authenticode-Authentifizierungs- und Sicherheitssystems.Authenticode ist ein Standardbestandteil des Windows-Betriebssystems.Alle ClickOnce-Anwendungen müssen mit einem digitalen Zertifikat signiert werden, unabhängig davon, ob sie Teil einer Bereitstellung einer vertrauenswürdigen Anwendung sind.Eine vollständige Erläuterung der Funktionsweise von Authenticode mit ClickOnce finden Sie unter ClickOnce and Authenticode.

Damit die ClickOnce-Anwendung ein höheres Maß an Vertrauen erhält, müssen Sie das Zertifikat als vertrauenswürdiger Herausgeber auf jedem Clientcomputer hinzufügen, auf dem die Anwendung ausgeführt wird.Bei dieser Aufgabe handelt es sich um eine einmalige Konfiguration.Nachdem sie abgeschlossen wurde, können Sie beliebig viele ClickOnce-Anwendungen bereitstellen, die mit dem Zertifikat Ihres Herausgebers signiert sind, und alle werden auf einer hohen Vertrauensebene ausgeführt.

Wenn Sie Ihre Anwendung in einer verwalteten Desktopumgebung bereitstellen, zum Beispiel in einem Unternehmensintranet, in dem das Windows-Betriebssystem ausgeführt wird, können Sie vertrauenswürdige Herausgeber einem Clientspeicher hinzufügen, indem Sie eine neue Zertifikatsvertrauensliste (CTL) mithilfe von Gruppenrichtlinien erstellen.Weitere Informationen finden Sie unter Erstellen einer Zertifikatvertrauensliste für ein Gruppenrichtlinienobjekt.

Wenn Sie die Anwendung nicht in einer verwalteten Desktopumgebung bereitstellen, haben Sie die folgenden Optionen zum Hinzufügen eines Zertifikats zum Speicher vertrauenswürdiger Herausgeber:

Ein ClickOnce-Anwendung ist eine .NET Framework-Clientanwendung kombiniert mit Manifestdateien, die die Anwendung beschreiben und Installationsparameter angegeben.Sie können Ihr Programm in eine ClickOnce-Anwendung mithilfe des Befehls Veröffentlichen in Visual Studio verwandeln.Alternativ können Sie alle erforderlichen Dateien für die ClickOnce-Bereitstellung mithilfe von Tools, die in Windows Software Development Kit (SDK) enthalten sind, generieren.Weitere Informationen zur ClickOnce-Bereitstellung finden Sie unter Walkthrough: Manually Deploying a ClickOnce Application.

Die Bereitstellung einer vertrauenswürdigen Anwendung gilt für ClickOnce und kann nur mit ClickOnce-Anwendungen verwendet werden.

Nachdem Sie das Zertifikat erhalten haben, müssen Sie damit Ihre Bereitstellung signieren.Bei der Bereitstellung der Anwendung mithilfe des Visual Studio-Webpublishing-Assistenten generiert der Assistent automatisch ein Testzertifikat für Sie, wenn Sie kein Zertifikat selbst angegeben haben.Sie können auch das Visual Studio-Projektdesignerfenster verwenden, allerdings um ein von einer Zertifizierungsstelle ausgestelltes Zertifikat bereitzustellen.  Siehe auch Gewusst wie: Veröffentlichen einer ClickOnce-Anwendung mit dem Webpublishing-Assistenten oder Gewusst wie: Veröffentlichen einer ClickOnce-Anwendung mit dem Webpublishing-Assistenten.

System_CAPS_cautionAchtung

Es wird davon abgeraten, die Anwendung mit einem Testzertifikat bereitzustellen.

Sie können die Anwendung auch mit den SDK-Tools "Mage.exe" oder "MageUI.exe" signieren.Weitere Informationen finden Sie unter Walkthrough: Manually Deploying a ClickOnce Application.Eine vollständige Liste der Befehlszeilenoptionen zur Bereitstellungssignierung finden Sie unter Mage.exe (Manifest Generation and Editing Tool).

Sobald Sie Ihre ClickOnce-Manifeste signiert haben, kann die Anwendung am Installationsspeicherort veröffentlichen.Der Installationsspeicherort kann ein Webserver, eine Dateifreigabe oder die lokale Festplatte sein.Wenn ein Client zum ersten Mal auf das Bereitstellungsmanifest zugreift, muss der Trust-Manager auswählen, ob der ClickOnce-Anwendung durch einen installierten vertrauenswürdigen Herausgeber die Berechtigung erteilt wurde, auf einer höheren Vertrauensebene ausgeführt zu werden.Der Trust-Manager trifft diese Auswahl durch Vergleichen des Zertifikats zum Signieren der Bereitstellung mit den Zertifikaten im Speicher des vertrauenswürdigen Herausgebers des Clients.Wenn der Trust-Manager eine Übereinstimmung findet, wird die Anwendung mit hoher Vertrauenswürdigkeit ausgeführt.

Ist der aktuelle Herausgeber kein vertrauenswürdiger Herausgeber, verwendet der Trust-Manager die Berechtigungserweiterung, um vom Benutzer zu erfahren, ob Ihrer Anwendung erweiterte Berechtigungen gewährt werden sollen.Wenn die Berechtigungserweiterung vom Administrator deaktiviert wurde, kann die Anwendung jedoch keine Berechtigung zum Ausführen erhalten.Die Anwendung wird nicht ausgeführt, und dem Benutzer wird keine Benachrichtigung angezeigt.Weitere Informationen zur Berechtigungserweiterung finden Sie unter Securing ClickOnce Applications.

Sie können die Bereitstellung einer vertrauenswürdigen Anwendung verwenden, um ClickOnce-Anwendungen, die über das Internet oder über eine unternehmensweite Dateifreigabe bereitgestellt werden, eine erhöhte Vertrauensstellung zu gewähren.Sie müssen keine Bereitstellung einer vertrauenswürdigen Anwendung für ClickOnce-Anwendungen verwenden, die auf einer CD verteilt werden, da diese Anwendungen standardmäßig die volle Vertrauenswürdigkeit erhalten haben.

Anzeigen:
© 2016 Microsoft