Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Toto téma obsahuje přehled nasazení aplikací ClickOnce se zvýšenými oprávněními pomocí technologie důvěryhodného nasazení aplikací.
Důvěryhodné nasazení aplikací, součást technologie nasazení ClickOnce, usnadňuje organizacím libovolné velikosti udělení dalších oprávnění ke spravované aplikaci bezpečnějším a bezpečnějším způsobem bez výzvy uživatele. Při nasazení důvěryhodné aplikace může organizace nakonfigurovat klientský počítač tak, aby měl seznam důvěryhodných vydavatelů, kteří jsou identifikováni pomocí certifikátů Authenticode. Potom každá aplikace ClickOnce podepsaná jedním z těchto důvěryhodných vydavatelů obdrží vyšší úroveň důvěryhodnosti.
Poznámka:
Nasazení důvěryhodné aplikace vyžaduje jednorázovou konfiguraci počítače uživatele. Ve spravovaných desktopových prostředích je možné tuto konfiguraci provést pomocí globálních zásad. Pokud to pro vaši aplikaci nechcete, použijte místo toho zvýšení oprávnění. Další informace naleznete v tématu Zabezpečení aplikací ClickOnce.
Základy nasazení důvěryhodných aplikací
Následující tabulka ukazuje objekty a role, které jsou součástí nasazení důvěryhodné aplikace.
| Objekt nebo role | Description |
|---|---|
| správce | Organizační entita zodpovědná za aktualizaci a údržbu klientských počítačů |
| správce důvěryhodnosti | Subsystém v rámci modulu CLR (Common Language Runtime) zodpovědný za vynucování zabezpečení klientských aplikací. |
| vydavatel | Entita, která zapisuje a udržuje aplikaci. |
| Nasazovač | Entita, která aplikaci zabalí a distribuuje uživatelům. |
| certifikát | Kryptografický podpis, který se skládá z veřejného a soukromého klíče; obecně vydá certifikační autorita (CA), která může potvrdit jeho pravost. |
| Certifikát Authenticode | Certifikát s vloženými metadaty popisující mimo jiné použití, pro které lze certifikát použít. |
| certifikační autorita | Organizace, která ověřuje identitu vydavatelů a vydává certifikáty vložené s metadaty vydavatele. |
| kořenová autorita | Certifikační autorita, která autorizuje jiné certifikační autority k vydávání certifikátů. |
| kontejner klíčů | Logický prostor úložiště v systému Microsoft Windows pro ukládání certifikátů. |
| důvěryhodný vydavatel | Vydavatel, jehož certifikát Authenticode byl přidán do seznamu důvěryhodných certifikátů (CTL) v klientském počítači. |
Ve větších organizacích jsou vydavatel a nasazovatel často dvě samostatné entity.
Vydavatel je skupina, která vytvoří aplikaci ClickOnce.
Nasazovač je skupina, obvykle oddělení informačních technologií (IT), které distribuuje aplikaci ClickOnce do podnikových podnikových stolních počítačů.
Pokud chcete využít výhod nasazení důvěryhodné aplikace, musíte postupovat následovně:
Získejte certifikát pro vydavatele.
Přidejte vydavatele do úložiště důvěryhodných vydavatelů na všech klientech.
Vytvořte aplikaci ClickOnce.
Podepište manifest nasazení pomocí certifikátu vydavatele.
Publikujte nasazení aplikace do klientských počítačů.
Získání certifikátu pro vydavatele
Digitální certifikáty jsou základní součástí systému ověřování a zabezpečení microsoft Authenticode. Authenticode je standardní součástí operačního systému Windows. Všechny aplikace ClickOnce musí být podepsané digitálním certifikátem bez ohledu na to, jestli se účastní nasazení důvěryhodné aplikace. Úplné vysvětlení toho, jak Funguje Funkce Authenticode s ClickOnce, naleznete v tématu ClickOnce a Authenticode.
Přidání vydavatele do úložiště důvěryhodných vydavatelů
Aby aplikace ClickOnce získala vyšší úroveň důvěryhodnosti, musíte certifikát přidat jako důvěryhodného vydavatele do každého klientského počítače, na kterém bude aplikace spuštěna. Provedení této úlohy je jednorázová konfigurace. Po dokončení můžete nasadit tolik aplikací ClickOnce podepsaných certifikátem vydavatele podle vašich představ a všechny budou fungovat s vysokou důvěryhodností.
Pokud nasazujete aplikaci ve spravovaném desktopovém prostředí, například v podnikovém intranetu s operačním systémem Windows, můžete do úložiště klienta přidat důvěryhodné vydavatele vytvořením nového seznamu důvěryhodnosti certifikátu (CTL) pomocí zásad skupiny. Další informace naleznete v tématu Vytvoření seznamu důvěryhodnosti certifikátu pro objekt zásad skupiny.
Pokud aplikaci nenasazujete ve spravovaném desktopovém prostředí, máte následující možnosti pro přidání certifikátu do důvěryhodného úložiště vydavatelů:
Prostor jmen System.Security.Cryptography.
CertMgr.exe, který je nainstalován se sadou Windows SDK. Další informace najdete v tématu Certmgr.exe (nástroj Správce certifikátů).
Vytvoření aplikace ClickOnce
Aplikace ClickOnce je klientská aplikace rozhraní .NET Framework v kombinaci se soubory manifestu, které popisují aplikaci a poskytují parametry instalace. Program můžete převést na aplikaci ClickOnce pomocí příkazu Publikovat v sadě Visual Studio. Alternativně můžete vygenerovat všechny soubory potřebné pro nasazení ClickOnce pomocí nástrojů, které jsou součástí sady Windows Software Development Kit (SDK). Podrobný postup o nasazení ClickOnce najdete v tématu Návod: Ruční nasazení aplikace ClickOnce.
Nasazení důvěryhodné aplikace je specifické pro ClickOnce a lze ho použít pouze s aplikacemi ClickOnce.
Podepište nasazení
Po získání certifikátu ho musíte použít k podepsání nasazení. Pokud nasazujete aplikaci pomocí průvodce publikováním v sadě Visual Studio, průvodce automaticky vygeneruje testovací certifikát, pokud jste certifikát sami neurčili. K zadání certifikátu poskytnutého certifikační autoritou můžete také použít okno Návrháře projektu sady Visual Studio. Viz Také postup: Publikování aplikace ClickOnce pomocí Průvodce publikováním.
Upozornění
Nedoporučujeme, aby byla aplikace nasazená s testovacím certifikátem.
Aplikaci můžete také podepsat pomocí nástrojů sadyMage.exe nebo MageUI.exe SDK. Další informace naleznete v tématu Návod: Ruční nasazení aplikace ClickOnce. Úplný seznam možností příkazového řádku souvisejících s podepisováním nasazení, najdete v tématu Mage.exe (nástroj pro generování a úpravy manifestu).
Publikování aplikace
Jakmile jste podepsali manifesty ClickOnce, je aplikace připravena k nasazení do cílového umístění instalace. Umístění instalace může být webový server, sdílená složka nebo místní disk. Když klient poprvé přistupuje k manifestu nasazení, musí správce důvěry rozhodnout, zda byla aplikaci ClickOnce udělena autorizace k provozu na vyšší úrovni důvěryhodnosti od nainstalovaného důvěryhodného vydavatele. Správce důvěryhodnosti tuto volbu zvolí porovnáním certifikátu použitého k podepsání nasazení s certifikáty uloženými v úložišti důvěryhodných vydavatelů klienta. Pokud správce důvěryhodnosti najde shodu, aplikace se spustí s vysokou důvěryhodností.
Zvýšení oprávnění a nasazení důvěryhodné aplikace
Pokud není aktuální vydavatel důvěryhodný, správce důvěryhodnosti použije zvýšení oprávnění k dotazu uživatele, zda chce vaší aplikaci udělit zvýšená oprávnění. Pokud správce zakáže zvýšení oprávnění, aplikace však nemůže získat oprávnění ke spuštění. Aplikace se nespustí a uživateli se nezobrazí žádné oznámení. Další informace o zvýšení oprávnění naleznete v tématu Zabezpečení aplikací ClickOnce.
Omezení nasazení důvěryhodných aplikací
Pomocí nasazení důvěryhodné aplikace můžete udělit zvýšenou důvěryhodnost aplikacím ClickOnce nasazeným přes web nebo prostřednictvím podnikové sdílené složky. U aplikací ClickOnce distribuovaných na disku CD nemusíte používat nasazení důvěryhodné aplikace, protože jsou těmto aplikacím ve výchozím nastavení udělena plná důvěra.