Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se proporciona información general sobre cómo implementar aplicaciones ClickOnce que tienen permisos elevados mediante la tecnología de implementación de aplicaciones de confianza.
La implementación de aplicaciones de confianza, que forma parte de la tecnología de implementación ClickOnce, facilita a las organizaciones de cualquier tamaño conceder permisos adicionales a una aplicación administrada de una manera más segura y segura sin que el usuario solicite. Con la implementación de aplicaciones de confianza, una organización solo puede configurar un equipo cliente para tener una lista de publicadores de confianza, que se identifican mediante certificados Authenticode. A partir de entonces, cualquier aplicación ClickOnce firmada por uno de estos editores de confianza recibe un mayor nivel de confianza.
Nota:
La implementación de aplicaciones de confianza requiere una configuración única del equipo de un usuario. En entornos de escritorio administrados, esta configuración se puede realizar mediante la directiva global. Si esto no es lo que desea para la aplicación, use la elevación de permisos en su lugar. Para obtener más información, consulte Protección de aplicaciones ClickOnce.
Conceptos básicos de implementación de aplicaciones de confianza
En la tabla siguiente se muestran los objetos y roles implicados en la implementación de aplicaciones de confianza.
| Objeto o rol | Description |
|---|---|
| administrador | La entidad organizativa responsable de actualizar y mantener equipos cliente |
| administrador de confianza | Subsistema dentro de Common Language Runtime (CLR) responsable de aplicar la seguridad de las aplicaciones cliente. |
| publisher | Entidad que escribe y mantiene la aplicación. |
| implementador | Entidad que empaqueta y distribuye la aplicación a los usuarios. |
| certificate | Una firma criptográfica que consta de una clave pública y privada; por lo general emitido por una entidad de certificación (CA) que puede responder por su autenticidad. |
| Certificado Authenticode | Certificado con metadatos incrustados que describen, entre otras cosas, los usos para los que se puede emplear el certificado. |
| entidad de certificación | Una organización que comprueba la identidad de los publicadores y los emite certificados insertados con los metadatos del publicador. |
| autoridad raíz | Una entidad de certificación que autoriza a otras entidades de certificación a emitir certificados. |
| contenedor de claves | Un espacio de almacenamiento lógico en Microsoft Windows para almacenar certificados. |
| editor de confianza | Un editor cuyo certificado Authenticode se ha agregado a una lista de confianza de certificados (CTL) en un ordenador cliente. |
En organizaciones más grandes, el publicador y el implementador suelen ser dos entidades independientes:
El publicador es el grupo que crea la aplicación ClickOnce.
El implementador es el grupo, normalmente el departamento de tecnología de la información (TI), que distribuye la aplicación ClickOnce a equipos de escritorio empresariales corporativos.
Debe seguir estos pasos para aprovechar las ventajas de la implementación de aplicaciones de confianza:
Obtenga un certificado para el publicador.
Agregue el publicador al repositorio de editores de confianza en todos los clientes.
Cree la aplicación ClickOnce.
Firme el manifiesto de implementación con el certificado del publicador.
Publique la implementación de la aplicación en equipos cliente.
Obtención de un certificado para el publicador
Los certificados digitales son un componente principal del sistema de seguridad y autenticación de Microsoft Authenticode. Authenticode es una parte estándar del sistema operativo Windows. Todas las aplicaciones ClickOnce deben firmarse con un certificado digital, independientemente de si participan en la implementación de aplicaciones de confianza. Para obtener una explicación completa de cómo funciona Authenticode con ClickOnce, consulte ClickOnce y Authenticode.
Adición del publicador al almacén de editores de confianza
Para que la aplicación ClickOnce reciba un mayor nivel de confianza, debe agregar el certificado como publicador de confianza a cada equipo cliente en el que se ejecutará la aplicación. Realizar esta tarea es una configuración que se realiza una sola vez. Una vez completado, puede implementar tantas aplicaciones ClickOnce firmadas con el certificado del publicador como desee y todas se ejecutarán con elevada confianza.
Si va a implementar la aplicación en un entorno de escritorio administrado; por ejemplo, una intranet corporativa que ejecuta el sistema operativo Windows; Puede agregar publicadores de confianza al almacén de un cliente mediante la creación de una nueva lista de confianza de certificados (CTL) con la directiva de grupo. Para obtener más información, vea Crear una lista de confianza de certificados para un objeto de directiva de grupo.
Si no va a implementar la aplicación en un entorno de escritorio administrado, tiene las siguientes opciones para agregar un certificado al almacén de editores de confianza:
Espacio System.Security.Cryptography de nombres.
CertMgr.exe, que se instala con Windows SDK. Para obtener más información, consulte Certmgr.exe (Herramienta administrador de certificados).
Creación de una aplicación ClickOnce
Una aplicación ClickOnce es una aplicación cliente de .NET Framework combinada con archivos de manifiesto que describen la aplicación y proporcionan parámetros de instalación. Puede convertir el programa en una aplicación ClickOnce mediante el comando Publicar en Visual Studio. Como alternativa, puede generar todos los archivos necesarios para la implementación de ClickOnce mediante herramientas que se incluyen con el Kit de desarrollo de software (SDK) de Windows. Para obtener pasos detallados sobre la implementación de ClickOnce, consulte Tutorial: Implementación manual de una aplicación ClickOnce.
La implementación de aplicaciones de confianza es específica de ClickOnce y solo se puede usar con aplicaciones ClickOnce.
Firmar el despliegue
Después de obtener el certificado, debe usarlo para firmar la implementación. Si implementa la aplicación mediante el asistente de publicación de Visual Studio, el asistente generará automáticamente un certificado de prueba si no ha especificado un certificado. Sin embargo, también puede usar la ventana Diseñador de proyectos de Visual Studio para proporcionar un certificado proporcionado por una ENTIDAD de certificación. Vea también Cómo: Publicar una aplicación ClickOnce mediante el Asistente para publicación.
Precaución
No se recomienda implementar la aplicación con un certificado de prueba.
También puede firmar la aplicación mediante las herramientas del SDK Mage.exe o MageUI.exe. Para obtener más información, consulte Tutorial: Implementación manual de una aplicación ClickOnce. Para obtener una lista completa de las opciones de línea de comandos relacionadas con la firma de implementación, consulte Mage.exe (Herramienta de generación y edición de manifiestos).
Publicación de la aplicación
En cuanto haya firmado los manifiestos ClickOnce, la aplicación estará lista para publicarla en la ubicación de instalación. La ubicación de instalación puede ser un servidor web, un recurso compartido de archivos o el disco local. Cuando un cliente accede al manifiesto de implementación por primera vez, el administrador de confianza debe elegir si la aplicación ClickOnce se ha concedido autoridad o no para ejecutarse en un nivel de confianza superior por parte de un publicador de confianza instalado. El administrador de confianza elige esta opción comparando el certificado usado para firmar la implementación con los certificados almacenados en el almacén de editores de confianza del cliente. Si el administrador de confianza encuentra una coincidencia, la aplicación se ejecuta con alta confianza.
Implementación de aplicaciones de confianza y elevación de permisos
Si el publicador actual no es un publicador de confianza, el administrador de confianza usará la elevación de permisos para consultar al usuario si quiere conceder permisos elevados a la aplicación. Sin embargo, si el administrador deshabilita la elevación de permisos, la aplicación no puede obtener permiso para ejecutarse. La aplicación no se ejecutará y no se mostrará ninguna notificación al usuario. Para obtener más información sobre la elevación de privilegios, consulte Asegurar las aplicaciones ClickOnce.
Limitaciones de la implementación de aplicaciones de confianza
Puede usar el despliegue de aplicaciones de confianza para otorgar confianza elevada a las aplicaciones ClickOnce implementadas mediante la Web o un recurso compartido de archivos de empresa. No es necesario usar la implementación de aplicaciones de confianza para las aplicaciones ClickOnce distribuidas en un CD, ya que, de forma predeterminada, estas aplicaciones tienen plena confianza.