Información general sobre la implementación de aplicaciones de confianza

Actualización: noviembre 2007

En este tema se ofrece información general sobre la forma de implementar aplicaciones ClickOnce que disponen de permisos elevados mediante la tecnología de implementación de aplicaciones de confianza.

La implementación de aplicaciones de confianza, que forma parte de la tecnología de implementación ClickOnce, facilita a empresas de cualquier tamaño la concesión de permisos adicionales a una aplicación administrada, de forma más segura y sin intervención del usuario. Con la implementación de aplicaciones de confianza, una empresa puede simplemente configurar un equipo cliente para que disponga de una lista de editores de confianza identificados mediante certificados Authenticode. A partir de ese momento, toda aplicación ClickOnce firmada por uno de estos editores de confianza recibirá un mayor nivel de confianza.

Nota:

La implementación de aplicaciones de confianza requiere una configuración inicial del equipo de usuario. En entornos de escritorio administrados, esta configuración puede llevarse a cabo utilizando una directiva global. Si no es lo que desea para la aplicación, utilice en su lugar la elevación de permisos. Para obtener más información, vea Implementación y seguridad con ClickOnce.

Conceptos básicos sobre la implementación de aplicaciones de confianza

En la tabla siguiente se muestran los objetos y funciones involucrados en la implementación de aplicaciones de confianza.

Objeto o función

Descripción

administrador

Entidad de la empresa responsable de la actualización y mantenimiento de los equipos cliente

administrador de confianza

Subsistema dentro del Common Language Runtime (CLR) responsable de hacer cumplir la seguridad de la aplicación cliente.

editor

Entidad que escribe y mantiene la aplicación.

implementador

Entidad que empaqueta y distribuye la aplicación a los usuarios.

certificado

Firma criptográfica compuesta por una clave pública y una clave privada; generalmente la emite una entidad de certificación (CA) que puede atestiguar su autenticidad.

certificado Authenticode

Certificado con metadatos incrustados que describen, entre otras cosas, la finalidad de dicho certificado.

entidad de certificación

Organización que comprueba la identidad de los editores y les envía certificados incrustados con los metadatos del editor.

entidad raíz

Entidad de certificación que autoriza a otras entidades a emitir certificados.

contenedor de claves

Espacio de almacenamiento lógico en Microsoft Windows para almacenar los certificados.

editor de confianza

Editor cuyo certificado de Authenticode se ha agregado a una lista de certificados de confianza (CTL) en un equipo cliente.

En organizaciones de mayor tamaño, el editor y el implementador son con frecuencia dos entidades independientes:

  • El editor es el grupo que se encarga de crear la aplicación ClickOnce.

  • El implementador es el grupo, normalmente el departamento de la tecnología de la información (TI), que se encarga de distribuir la aplicación ClickOnce a los equipos de escritorio de empresas corporativas.

Debe seguir estos pasos para aprovechar la implementación de aplicaciones de confianza:

  1. Obtenga un certificado para el editor.

  2. Agregue el editor al almacén de editores de confianza en todos los clientes.

  3. Cree la aplicación ClickOnce.

  4. Firme el manifiesto de implementación con el certificado del editor.

  5. Publique la implementación de la aplicación en los equipos cliente.

Obtenga un certificado para el editor.

Los certificados digitales son un componente básico de la autenticación Microsoft Authenticode y del sistema de seguridad. Authenticode es un elemento estándar del sistema operativo Windows. Todas las aplicaciones ClickOnce deben firmarse con un certificado digital, independientemente de que participen en la implementación de aplicaciones de confianza. Para obtener una explicación completa de cómo funciona Authenticode con ClickOnce, vea Implementación de ClickOnce y Authenticode.

Agregue el editor al almacén de editores de confianza

Para que la aplicación ClickOnce reciba un mayor nivel de confianza, deberá agregar el certificado como editor de confianza a cada uno de los equipos cliente donde vaya a ejecutarse la aplicación. La realización de esta tarea se compone de una única configuración. Una vez realizada esta tarea, podrá implementar todas las aplicaciones ClickOnce firmadas que desee con el certificado del editor, y todas ellas se ejecutarán con un alto nivel de confianza.

Si está implementando la aplicación en un entorno de escritorio administrado, por ejemplo, una intranet empresarial donde se ejecute el sistema operativo Windows, podrá agregar editores de confianza al almacén de un cliente creando una nueva lista de certificados de confianza (CTL) con la directiva de grupo. Para obtener más información, vea Create a certificate trust list for a Group Policy object.

Si no está implementando la aplicación en un entorno de escritorio administrado, dispone de las siguientes opciones para agregar un certificado al almacén de editores de confianza:

Cree una aplicación ClickOnce

Una aplicación ClickOnce es una aplicación cliente .NET Framework combinada con archivos de manifiestos que describen la aplicación y suministran parámetros de instalación. Puede convertir el programa en una aplicación ClickOnce utilizando el comando Publicar en Visual Studio. Otra opción es generar todos los archivos necesarios para la implementación de ClickOnce utilizando las herramientas incluidas en Kit de desarrollo de software de Windows (SDK). Para conocer los pasos necesarios para la implementación de ClickOnce, vea Tutorial: Implementar manualmente una aplicación ClickOnce.

La implementación de aplicaciones de confianza es específica de ClickOnce y sólo se puede utilizar con aplicaciones ClickOnce.

Firme la implementación

Una vez obtenido el certificado, debe utilizarlo para firmar la implementación. Si está implementando la aplicación mediante el Asistente para publicación de Visual Studio, el asistente generará automáticamente un certificado de prueba en caso de que no haya especificado ningún certificado. También puede utilizar la ventana Diseñador de proyectos de Visual Studio para suministrar un certificado proporcionado por una entidad de certificación.

Precaución:

No es recomendable implementar la aplicación con un certificado de prueba.

También puede firmar la aplicación utilizando las herramientas SDK de Mage.exe o de MageUI.exe. Para obtener más información, vea Tutorial: Implementar manualmente una aplicación ClickOnce. Para obtener una lista completa de opciones de la línea de comandos relacionada con la firma de una implementación, vea Herramienta de generación y edición de manifiestos (Mage.exe).

Publique la aplicación

En cuanto haya firmado los manifiestos de ClickOnce, la aplicación estará lista para publicarse en la ubicación de instalación. La ubicación de instalación puede ser un servidor Web, un recurso compartido de archivos o el disco local. Cuando un cliente tiene acceso al manifiesto de implementación por primera vez, el administrador de confianza debe elegir si un editor de confianza instalado ha concedido a la aplicación ClickOnce autoridad para ejecutarse en un nivel de confianza superior. El administrador de confianza realiza esta elección comparando el certificado utilizado para firmar la implementación con los certificados almacenados en el almacén de editores de confianza del cliente. Si el administrador de confianza encuentra alguna coincidencia, la aplicación se ejecuta con un alto nivel de confianza.

Implementación de aplicaciones de confianza y elevación de permisos

Si el editor actual no es un editor de confianza, el administrador de confianza utilizará la elevación de permisos para preguntar al usuario si desea conceder permisos elevados a la aplicación. No obstante, si el administrador deshabilita la elevación del permisos, la aplicación no podrá obtener permiso para ejecutarse. La aplicación no se ejecutará y no se mostrará ninguna notificación al usuario. Para obtener más información sobre la elevación de permisos, vea Implementación y seguridad con ClickOnce.

Limitaciones de la implementación de aplicaciones de confianza

Puede utilizar la implementación de aplicaciones de confianza para conceder una confianza elevada a las aplicaciones ClickOnce implementadas en el Web o a través de un recurso compartido de archivos de la empresa. No es necesario que utilice la implementación de aplicaciones de confianza para las aplicaciones ClickOnce que se distribuyen en un CD porque, de forma predeterminada, estas aplicaciones gozan de plena confianza.

Vea también

Tareas

Tutorial: Implementar manualmente una aplicación ClickOnce

Referencia

Herramienta de generación y edición de manifiestos (Mage.exe)