Nous recommandons d’utiliser Visual Studio 2017

Vue d'ensemble du déploiement d'applications approuvées

 

Date de publication : novembre 2016

Pour obtenir la dernière documentation sur Visual Studio 2017, consultez Documentation Visual Studio 2017.

Cette rubrique offre une vue d’ensemble du déploiement d’applications ClickOnce qui ont des autorisations élevées à l’aide de la technologie de déploiement d’applications approuvées.

Le déploiement d'applications approuvées, qui fait partie de la technologie de déploiement ClickOnce, permet aux entreprises de toute taille d'accorder des autorisations supplémentaires à une application managée de façon plus sûre et plus sécurisée, sans la confirmation de l'utilisateur. Avec le déploiement d'applications approuvées, une organisation peut simplement configurer un ordinateur client pour avoir une liste d'éditeurs approuvés, identifiés à l'aide de certificats Authenticode. Dès lors, toute application ClickOnce signée par un de ces éditeurs approuvés reçoit un niveau de confiance supérieur.

System_CAPS_ICON_note.jpg Remarque

Le déploiement d'applications approuvées requiert une configuration unique de l'ordinateur d'un utilisateur. Dans les environnements de postes de travail gérés, cette configuration peut être effectuée à l'aide de la stratégie globale. Si ce n'est pas ce que vous voulez pour votre application, utilisez plutôt l'élévation d'autorisations. Pour plus d'informations, consultez Sécurisation des applications ClickOnce.

Le tableau suivant indique les objets et les rôles qui interviennent dans le déploiement d'applications approuvées.

Objet ou rôleDescription
administrateurEntité organisationnelle responsable de la mise à jour et la maintenance des ordinateurs client
gestionnaire de confianceSous-système dans le Common Language Runtime (CLR) chargé d'appliquer la sécurité des applications clientes.
publisherEntité qui écrit et gère l'application.
système de déploiementEntité qui assemble et distribue l'application aux utilisateurs.
certificatSignature de chiffrement qui se compose d'une clé publique et privée, émise en général par une autorité de certification (CA) pouvant se porter garante de son authenticité.
certificat AuthenticodeCertificat avec des métadonnées incorporées décrivant, entre autres choses, les utilisations pour lesquelles le certificat peut être employé.
autorité de certificationOrganisation qui vérifie l'identité des éditeurs et leur délivre des certificats incorporés avec les métadonnées de l'éditeur.
autorité racineAutorité de certification qui autorise d'autres autorités de certification à émettre des certificats.
conteneur de cléEspace de stockage logique dans Microsoft Windows pour stocker des certificats.
éditeur approuvéÉditeur dont le certificat Authenticode a été ajouté à une liste de certificats de confiance (CTL) sur un ordinateur client.

Dans les grandes entreprises, l'éditeur et le système de déploiement sont souvent deux entités distinctes :

  • L'éditeur est le groupe qui crée l'application ClickOnce.

  • Le système de déploiement est le groupe, en général le service informatique, qui distribue l'application ClickOnce aux ordinateurs de bureau de l'entreprise.

Vous devez suivre ces étapes pour tirer parti du déploiement d'applications approuvées :

  1. Obtenir un certificat pour l'éditeur.

  2. Ajouter l'éditeur au magasin d'éditeurs approuvés sur tous les clients.

  3. Créer votre application ClickOnce.

  4. Signer le manifeste de déploiement avec le certificat de l'éditeur.

  5. Publier le déploiement d'applications sur les ordinateurs clients.

Obtenir un certificat pour l'éditeur

Les certificats numériques sont un composant principal du système de sécurité et d'authentification de Microsoft Authenticode. Authenticode est un composant standard du système d'exploitation Windows. Toutes les applications ClickOnce doivent être signées avec un certificat numérique, qu'elles participent ou non au déploiement d'applications approuvées. Pour obtenir une explication complète du fonctionnement d’Authenticode avec ClickOnce, consultez ClickOnce et Authenticode.

Ajouter l'éditeur au magasin d'éditeurs approuvés

Pour que votre application ClickOnce reçoive un niveau supérieur de confiance, vous devez ajouter votre certificat en tant qu'éditeur approuvé à chaque ordinateur client sur lequel l'application s'exécutera. Cette tâche est une configuration unique. Une fois terminée, vous pouvez déployer autant d'applications ClickOnce signées avec le certificat de votre éditeur que vous souhaitez, et elles s'exécuteront toutes avec un niveau de confiance élevé.

Si vous déployez votre application dans un environnement de bureau géré, par exemple, un intranet d'entreprise exécutant le système d'exploitation Windows, vous pouvez ajouter des éditeurs approuvés au magasin d'un client en créant une nouvelle liste de certificats de confiance (CTL) avec la stratégie de groupe. Pour plus d’informations, consultez Créer une liste de certificats de confiance pour un objet Stratégie de groupe.

Si vous ne déployez pas votre application dans un environnement de bureau géré, vous disposez des options suivantes pour ajouter un certificat au magasin d'éditeurs approuvés :

Créer une application ClickOnce

Une application ClickOnce est une application cliente .NET Framework combinée avec des fichiers manifestes qui décrivent l'application et fournissent les paramètres d'installation. Vous pouvez transformer votre programme en application ClickOnce à l'aide de la commande Publier dans Visual Studio. Vous pouvez également générer tous les fichiers requis pour le déploiement ClickOnce à l'aide des outils inclus dans le Kit de développement logiciel Windows. Pour obtenir une procédure pas à pas du déploiement ClickOnce, consultez Walkthrough: Manually Deploying a ClickOnce Application.

Le déploiement d'applications approuvées est spécifique de ClickOnce et peut uniquement être utilisé avec des applications ClickOnce.

Signer le déploiement

Après avoir obtenu votre certificat, vous devez l'utiliser pour signer votre déploiement. Si vous déployez votre application à l'aide de l'Assistant Publication de Visual Studio, ce dernier génère automatiquement un certificat de test pour vous si vous n'avez pas spécifié de certificat. Vous pouvez également utiliser la fenêtre du Concepteur de projets Visual Studio, pour fournir un certificat fourni par une autorité de certification. Consultez également Comment : publier une application ClickOnce à l’aide de l’Assistant Publication ou Comment : publier une application ClickOnce à l’aide de l’Assistant Publication.

System_CAPS_ICON_caution.jpg Attention

Nous ne recommandons pas le déploiement de l'application avec un certificat de test.

Vous pouvez également signer l'application à l'aide des outils des SDK Mage.exe ou MageUI.exe. Pour plus d'informations, consultez Walkthrough: Manually Deploying a ClickOnce Application. Pour obtenir une liste complète des options de ligne de commande relatives à la signature de déploiement, consultez Mage.exe (outil Manifest Generation and Editing).

Publier l'application

Dès que vous avez signé vos manifestes ClickOnce, l'application est prête à être publiée dans votre emplacement d'installation. L'emplacement d'installation peut être un serveur web, un partage de fichiers ou le disque local. Quand un client accède au manifeste de déploiement pour la première fois, le Gestionnaire de confiance doit déterminer si l'application ClickOnce a été autorisée ou non à ne pas s'exécuter à un niveau de confiance supérieur par un éditeur approuvé installé. Le Gestionnaire de confiance fait ce choix en comparant le certificat utilisé pour signer le déploiement aux certificats stockés dans le magasin d'éditeurs approuvés du client. Si le Gestionnaire de confiance trouve une correspondance, l'application s'exécute avec un niveau de confiance élevé.

Si l'éditeur actuel n'est pas un éditeur approuvé, le Gestionnaire de confiance utilise l'élévation d'autorisations pour demander à l'utilisateur s'il souhaite accorder à votre application des autorisations élevées. Toutefois, si l'élévation d'autorisations est désactivée par l'administrateur, l'application ne peut pas obtenir l'autorisation de s'exécuter. L'application ne s'exécute pas et aucune notification n'est affichée à l'utilisateur. Pour plus d’informations sur l’élévation d’autorisations, consultez Sécurisation des applications ClickOnce.

Vous pouvez utiliser le déploiement d'applications approuvées pour accorder une confiance élevée aux applications ClickOnce déployées sur le web ou via un partage de fichiers d'entreprise. Vous n'êtes pas obligé d'utiliser le déploiement d'applications approuvées pour les applications ClickOnce distribuées sur un CD, car, par défaut, ces applications ont un niveau de confiance totale.

Mage.exe (outil Manifest Generation and Editing)
Walkthrough: Manually Deploying a ClickOnce Application

Afficher: