Sdílet prostřednictvím


Přehled nasazení důvěryhodných aplikací

Toto téma obsahuje přehled nasazení aplikací ClickOnce se zvýšenými oprávněními pomocí technologie důvěryhodného nasazení aplikací.

Důvěryhodné nasazení aplikací, součást technologie nasazení ClickOnce, usnadňuje organizacím libovolné velikosti udělení dalších oprávnění ke spravované aplikaci bezpečnějším a bezpečnějším způsobem bez výzvy uživatele. Při nasazení důvěryhodné aplikace může organizace nakonfigurovat klientský počítač tak, aby měl seznam důvěryhodných vydavatelů, kteří jsou identifikováni pomocí certifikátů Authenticode. Potom každá aplikace ClickOnce podepsaná jedním z těchto důvěryhodných vydavatelů obdrží vyšší úroveň důvěryhodnosti.

Poznámka:

Nasazení důvěryhodné aplikace vyžaduje jednorázovou konfiguraci počítače uživatele. Ve spravovaných desktopových prostředích je možné tuto konfiguraci provést pomocí globálních zásad. Pokud to pro vaši aplikaci nechcete, použijte místo toho zvýšení oprávnění. Další informace naleznete v tématu Zabezpečení aplikací ClickOnce.

Základy nasazení důvěryhodných aplikací

Následující tabulka ukazuje objekty a role, které jsou součástí nasazení důvěryhodné aplikace.

Objekt nebo role Popis
Správce Organizační entita zodpovědná za aktualizaci a údržbu klientských počítačů
správce důvěryhodnosti Subsystém v rámci modulu CLR (Common Language Runtime) zodpovědný za vynucování zabezpečení klientských aplikací.
Vydavatel Entita, která zapisuje a udržuje aplikaci.
deployer Entita, která aplikaci zabalí a distribuuje uživatelům.
certifikát Kryptografický podpis, který se skládá z veřejného a privátního klíče; obecně vydá certifikační autorita( CA), která může vyděsit jeho pravost.
Certifikát Authenticode Certifikát s vloženými metadaty popisující mimo jiné použití, pro které lze certifikát použít.
certifikační autorita Organizace, která ověřuje identitu vydavatelů a vydává certifikáty vložené s metadaty vydavatele.
kořenová autorita Certifikační autorita, která autorizuje jiné certifikační autority k vydávání certifikátů.
kontejner klíčů Logický prostor úložiště v systému Microsoft Windows pro ukládání certifikátů.
důvěryhodný vydavatel Vydavatel, jehož certifikát Authenticode byl přidán do seznamu důvěryhodných certifikátů (CTL) v klientském počítači.

Ve větších organizacích jsou vydavatel a nasazér často dvě samostatné entity:

  • Vydavatel je skupina, která vytvoří aplikaci ClickOnce.

  • Nasazovač je skupina, obvykle oddělení informačních technologií (IT), které distribuuje aplikaci ClickOnce do podnikových podnikových stolních počítačů.

Pokud chcete využít výhod nasazení důvěryhodné aplikace, musíte postupovat následovně:

  1. Získejte certifikát pro vydavatele.

  2. Přidejte vydavatele do úložiště důvěryhodných vydavatelů na všech klientech.

  3. Vytvořte aplikaci ClickOnce.

  4. Podepište manifest nasazení pomocí certifikátu vydavatele.

  5. Publikujte nasazení aplikace do klientských počítačů.

Získání certifikátu pro vydavatele

Digitální certifikáty jsou základní součástí systému ověřování a zabezpečení microsoft Authenticode. Authenticode je standardní součástí operačního systému Windows. Všechny aplikace ClickOnce musí být podepsané digitálním certifikátem bez ohledu na to, jestli se účastní nasazení důvěryhodné aplikace. Úplné vysvětlení toho, jak Funguje Funkce Authenticode s ClickOnce, naleznete v tématu ClickOnce a Authenticode.

Přidání vydavatele do úložiště důvěryhodných vydavatelů

Aby aplikace ClickOnce získala vyšší úroveň důvěryhodnosti, musíte certifikát přidat jako důvěryhodného vydavatele do každého klientského počítače, na kterém bude aplikace spuštěna. Provedení této úlohy je jednorázová konfigurace. Po dokončení můžete nasadit tolik aplikací ClickOnce podepsaných certifikátem vydavatele podle vašich představ a všechny budou fungovat s vysokou důvěryhodností.

Pokud nasazujete aplikaci ve spravovaném desktopovém prostředí; Například podnikový intranet s operačním systémem Windows; Důvěryhodné vydavatele můžete přidat do úložiště klienta vytvořením nového seznamu důvěryhodnosti certifikátu (CTL) se zásadami skupiny. Další informace naleznete v tématu Vytvoření seznamu důvěryhodnosti certifikátu pro objekt zásad skupiny.

Pokud aplikaci nenasazujete ve spravovaném desktopovém prostředí, máte následující možnosti pro přidání certifikátu do důvěryhodného úložiště vydavatelů:

Vytvoření aplikace ClickOnce

Aplikace ClickOnce je klientská aplikace rozhraní .NET Framework v kombinaci se soubory manifestu, které popisují aplikaci a poskytují parametry instalace. Program můžete převést na aplikaci ClickOnce pomocí příkazu Publikovat v sadě Visual Studio. Alternativně můžete vygenerovat všechny soubory potřebné pro nasazení ClickOnce pomocí nástrojů, které jsou součástí sady Windows Software Development Kit (SDK). Podrobný postup o nasazení ClickOnce najdete v tématu Návod: Ruční nasazení aplikace ClickOnce.

Nasazení důvěryhodné aplikace je specifické pro ClickOnce a lze ho použít pouze s aplikacemi ClickOnce.

Podepsání nasazení

Po získání certifikátu ho musíte použít k podepsání nasazení. Pokud nasazujete aplikaci pomocí průvodce publikováním v sadě Visual Studio, průvodce automaticky vygeneruje testovací certifikát, pokud jste certifikát nezadáli sami. K zadání certifikátu poskytnutého certifikační autoritou můžete také použít okno Návrháře projektu sady Visual Studio. Viz Také postup : Publikování aplikace ClickOnce pomocí Průvodce publikováním.

Upozornění

Nedoporučujeme, aby byla aplikace nasazená s testovacím certifikátem.

Aplikaci můžete také podepsat pomocí nástrojů sady Mage.exe nebo MageUI.exe SDK. Další informace naleznete v tématu Návod: Ruční nasazení aplikace ClickOnce. Úplný seznam možností příkazového řádku souvisejících s podepisováním nasazení najdete v tématu Mage.exe (nástroj pro generování a úpravy manifestu).

Publikování aplikace

Jakmile jste podepsali manifesty ClickOnce, je aplikace připravena publikovat do umístění instalace. Umístění instalace může být webový server, sdílená složka nebo místní disk. Když klient poprvé přistupuje k manifestu nasazení, musí správce důvěryhodnosti zvolit, jestli má aplikace ClickOnce udělenou autoritu nebo nespouštět na vyšší úrovni důvěryhodnosti nainstalovaného důvěryhodného vydavatele. Správce důvěryhodnosti tuto volbu zvolí porovnáním certifikátu použitého k podepsání nasazení s certifikáty uloženými v úložišti důvěryhodných vydavatelů klienta. Pokud správce důvěryhodnosti najde shodu, aplikace se spustí s vysokou důvěryhodností.

Zvýšení oprávnění a nasazení důvěryhodné aplikace

Pokud aktuální vydavatel není důvěryhodným vydavatelem, správce důvěryhodnosti použije zvýšení oprávnění k dotazování uživatele na to, jestli chce aplikaci udělit zvýšená oprávnění. Pokud správce zakáže zvýšení oprávnění, aplikace však nemůže získat oprávnění ke spuštění. Aplikace se nespustí a uživateli se nezobrazí žádné oznámení. Další informace o zvýšení oprávnění naleznete v tématu Zabezpečení aplikací ClickOnce.

Omezení nasazení důvěryhodných aplikací

Pomocí nasazení důvěryhodné aplikace můžete udělit zvýšenou důvěryhodnost aplikacím ClickOnce nasazeným přes web nebo prostřednictvím podnikové sdílené složky. U aplikací ClickOnce distribuovaných na disku CD nemusíte používat nasazení důvěryhodných aplikací, protože ve výchozím nastavení jsou těmto aplikacím udělen úplný vztah důvěryhodnosti.