이 항목에서는 신뢰할 수 있는 애플리케이션 배포 기술을 사용하여 상승된 권한이 있는 ClickOnce 애플리케이션을 배포하는 방법에 대한 개요를 제공합니다.
ClickOnce 배포 기술의 일부인 신뢰할 수 있는 애플리케이션 배포를 사용하면 모든 규모의 조직이 사용자 프롬프트 없이 더 안전하고 안전한 방식으로 관리되는 애플리케이션에 추가 권한을 쉽게 부여할 수 있습니다. 신뢰할 수 있는 애플리케이션 배포를 사용하면 조직에서 Authenticode 인증서를 사용하여 식별되는 신뢰할 수 있는 게시자 목록을 갖도록 클라이언트 컴퓨터를 구성할 수 있습니다. 그 후 이러한 신뢰할 수 있는 게시자 중 한 명이 서명한 ClickOnce 애플리케이션은 더 높은 수준의 신뢰를 받습니다.
비고
신뢰할 수 있는 애플리케이션 배포에는 사용자 컴퓨터의 일회성 구성이 필요합니다. 관리형 데스크톱 환경에서는 전역 정책을 사용하여 이 구성을 수행할 수 있습니다. 애플리케이션에 대해 원하는 것이 아닌 경우 권한 상승 대신 사용합니다. 자세한 내용은 ClickOnce 애플리케이션 보안을 참조하세요.
신뢰할 수 있는 애플리케이션 배포 기본 사항
다음 표에서는 신뢰할 수 있는 애플리케이션 배포와 관련된 개체 및 역할을 보여 줍니다.
| 개체 또는 역할 | Description |
|---|---|
| 관리자 | 클라이언트 컴퓨터 업데이트 및 유지 관리를 담당하는 조직 |
| 신뢰 관리자 | 클라이언트 애플리케이션 보안을 적용하는 CLR(공용 언어 런타임) 내의 하위 시스템입니다. |
| 출판사 | 애플리케이션을 작성하고 유지 관리하는 엔터티입니다. |
| 배포자 | 애플리케이션을 패키지하고 사용자에게 배포하는 엔터티입니다. |
| certificate | 퍼블릭 및 프라이빗 키로 구성된 암호화 서명입니다. 일반적으로 인증 기관(CA)에서 발급하여 인증을 보증할 수 있습니다. |
| Authenticode 인증서 | 무엇보다도 인증서를 사용할 수 있는 용도를 설명하는 포함된 메타데이터가 있는 인증서입니다. |
| 인증 기관 | 게시자의 ID를 확인하고 게시자의 메타데이터에 포함된 인증서를 발급하는 조직입니다. |
| 루트 인증 기관 | 다른 인증 기관에서 인증서를 발급할 수 있는 권한을 부여하는 인증 기관입니다. |
| 키 컨테이너 | 인증서를 저장하기 위한 Microsoft Windows의 논리적 스토리지 공간입니다. |
| 신뢰할 수 있는 게시자 | 클라이언트 컴퓨터의 CTL(인증서 신뢰 목록)에 Authenticode 인증서가 추가된 게시자입니다. |
대규모 조직에서 게시자와 배포자는 종종 두 개의 개별 엔터티입니다.
게시자는 ClickOnce 애플리케이션을 만드는 그룹입니다.
배포자는 ClickOnce 애플리케이션을 회사 엔터프라이즈 데스크톱 컴퓨터에 배포하는 그룹(일반적으로 IT(정보 기술) 부서)입니다.
신뢰할 수 있는 애플리케이션 배포를 활용하려면 다음 단계를 수행해야 합니다.
게시자에 대한 인증서를 가져옵니다.
모든 클라이언트의 신뢰할 수 있는 게시자 저장소에 게시자를 추가합니다.
ClickOnce 애플리케이션을 만듭니다.
게시자의 인증서를 사용하여 배포 매니페스트에 서명합니다.
클라이언트 컴퓨터에 애플리케이션 배포를 게시합니다.
게시자에 대한 인증서 가져오기
디지털 인증서는 Microsoft Authenticode 인증 및 보안 시스템의 핵심 구성 요소입니다. Authenticode는 Windows 운영 체제의 표준 부분입니다. 모든 ClickOnce 애플리케이션은 신뢰할 수 있는 애플리케이션 배포에 참여하는지 여부에 관계없이 디지털 인증서로 서명해야 합니다. Authenticode가 ClickOnce에서 작동하는 방식에 대한 전체 설명은 ClickOnce 및 Authenticode를 참조하세요.
신뢰할 수 있는 게시자 저장소에 게시자 추가
ClickOnce 애플리케이션이 더 높은 수준의 신뢰를 받으려면 애플리케이션이 실행될 각 클라이언트 컴퓨터에 신뢰할 수 있는 게시자로 인증서를 추가해야 합니다. 이 작업을 수행하는 것은 일회성 구성입니다. 완료되면 원하는 만큼 게시자의 인증서로 서명된 ClickOnce 애플리케이션을 배포할 수 있으며 모두 높은 신뢰로 실행됩니다.
관리되는 데스크톱 환경에서 애플리케이션을 배포하는 경우 예를 들어 Windows 운영 체제를 실행하는 회사 인트라넷 그룹 정책을 사용하여 새 CTL(인증서 신뢰 목록)을 만들어 클라이언트의 저장소에 신뢰할 수 있는 게시자를 추가할 수 있습니다. 자세한 내용은 그룹 정책 개체에 대한 인증서 신뢰 목록 만들기를 참조하세요.
관리되는 데스크톱 환경에서 애플리케이션을 배포하지 않는 경우 신뢰할 수 있는 게시자 저장소에 인증서를 추가하기 위한 다음 옵션이 있습니다.
네임스페이스 System.Security.Cryptography입니다.
CertMgr.exe- Windows SDK와 함께 설치됩니다. 자세한 내용은 Certmgr.exe(인증서 관리자 도구)를 참조하세요.
ClickOnce 애플리케이션 만들기
ClickOnce 애플리케이션은 애플리케이션을 설명하고 설치 매개 변수를 제공하는 매니페스트 파일과 결합된 .NET Framework 클라이언트 애플리케이션입니다. Visual Studio에서 게시 명령을 사용하여 프로그램을 ClickOnce 애플리케이션으로 전환할 수 있습니다. 또는 Windows SDK(소프트웨어 개발 키트)에 포함된 도구를 사용하여 ClickOnce 배포에 필요한 모든 파일을 생성할 수 있습니다. ClickOnce 배포에 대한 자세한 단계는 연습: ClickOnce 애플리케이션 수동 배포를 참조하세요.
신뢰할 수 있는 애플리케이션 배포는 ClickOnce와 관련이 있으며 ClickOnce 애플리케이션에서만 사용할 수 있습니다.
배포에 서명하십시오
인증서를 가져온 후 배포에 서명하는 데 사용해야 합니다. Visual Studio 게시 마법사를 사용하여 애플리케이션을 배포하는 경우 인증서를 직접 지정하지 않은 경우 마법사에서 자동으로 테스트 인증서를 생성합니다. 그러나 Visual Studio 프로젝트 디자이너 창을 사용하여 CA에서 제공하는 인증서를 제공할 수도 있습니다. 또한 방법: 게시 마법사를 사용하여 ClickOnce 애플리케이션 게시를 참조하세요.
주의
테스트 인증서를 사용하여 애플리케이션을 배포하지 않는 것이 좋습니다.
Mage.exe또는MageUI.exe SDK 도구를 사용하여 애플리케이션에 서명할 수도 있습니다. 자세한 내용은 연습: ClickOnce 애플리케이션 수동 배포를 참조하세요. 배포 서명과 관련된 명령줄 옵션의 전체 목록은 Mage.exe(매니페스트 생성 및 편집 도구)를 참조하세요.
애플리케이션 게시
ClickOnce 매니페스트에 서명하는 즉시 애플리케이션이 설치 위치에 게시할 준비가 됩니다. 설치 위치는 웹 서버, 파일 공유 또는 로컬 디스크일 수 있습니다. 클라이언트가 처음으로 배포 매니페스트에 액세스할 때 트러스트 관리자는 설치된 신뢰할 수 있는 게시자가 ClickOnce 애플리케이션에 더 높은 신뢰 수준에서 실행할 수 있는 권한을 부여했는지 여부를 결정해야 합니다. 신뢰 관리자는 배포에 서명하는 데 사용되는 인증서를 클라이언트의 신뢰할 수 있는 게시자 저장소에 저장된 인증서와 비교하여 이 옵션을 선택합니다. 신뢰 관리자가 일치 항목을 찾으면 애플리케이션이 높은 신뢰로 실행됩니다.
신뢰할 수 있는 애플리케이션 배포 및 권한 상승
현재 게시자가 신뢰할 수 있는 게시자가 아닌 경우 트러스트 관리자는 권한 상승(Permission Elevation)을 사용하여 애플리케이션에 상승된 권한을 부여할지 여부를 사용자에게 쿼리합니다. 그러나 관리자가 권한 상승 기능을 사용하지 않도록 설정하면 애플리케이션에서 실행할 수 있는 권한을 얻을 수 없습니다. 애플리케이션이 실행되지 않으며 사용자에게 알림이 표시되지 않습니다. 권한 상승에 대한 자세한 내용은 ClickOnce 애플리케이션 보안을 참조하세요.
신뢰할 수 있는 애플리케이션 배포의 제한 사항
신뢰할 수 있는 애플리케이션 배포를 사용하여 웹 또는 엔터프라이즈 파일 공유를 통해 배포된 ClickOnce 애플리케이션에 상승된 트러스트를 부여할 수 있습니다. 기본적으로 이러한 애플리케이션에는 완전 신뢰가 부여되므로 CD에 배포된 ClickOnce 애플리케이션에 대해 신뢰할 수 있는 애플리케이션 배포를 사용할 필요가 없습니다.