Заметка
Доступ к этой странице требует авторизации. Вы можете попробовать войти в систему или изменить каталог.
Доступ к этой странице требует авторизации. Вы можете попробовать сменить директорию.
В этом разделе представлен обзор развертывания приложений ClickOnce с повышенными привилегиями с помощью технологии развертывания доверенных приложений.
Развертывание доверенных приложений, часть технологии развертывания ClickOnce, упрощает для организаций любого размера предоставление дополнительных разрешений управляемому приложению в более безопасном и безопасном режиме без запроса пользователей. При развертывании доверенных приложений организация может просто настроить клиентский компьютер для получения списка доверенных издателей, которые определены с помощью сертификатов Authenticode. После этого любое приложение ClickOnce, подписанное одним из этих доверенных издателей, получает более высокий уровень доверия.
Замечание
Для развертывания доверенных приложений требуется однократная настройка компьютера пользователя. В управляемых настольных средах эта конфигурация может выполняться с помощью глобальной политики. Если это не то, что вам нужно для приложения, вместо этого используйте эскалацию прав. Дополнительные сведения см. в разделе "Защита приложений ClickOnce".
Основы развертывания доверенных приложений
В следующей таблице показаны объекты и роли, участвующие в развертывании доверенных приложений.
| Объект или роль | Description |
|---|---|
| администратор | Организация, отвечающая за обновление и обслуживание клиентских компьютеров |
| диспетчер доверия | Подсистема в среде CLR, отвечающая за обеспечение безопасности клиентских приложений. |
| издатель | Сущность, которая записывает и обслуживает приложение. |
| Средство развертывания | Сущность, которая упаковает и распределяет приложение пользователям. |
| certificate | Криптографическая подпись, состоящая из открытого и закрытого ключа; как правило, выданный центром сертификации (ЦС), который может поручиться за его подлинность. |
| Сертификат Authenticode | Сертификат со встроенными метаданными, описывающими, помимо прочего, использование, для которого можно использовать сертификат. |
| центр сертификации | Организация, которая проверяет удостоверение издателей и выдает им сертификаты, внедренные в метаданные издателя. |
| корневой удостоверяющий центр | Центр сертификации, который разрешает другим центрам сертификации выдавать сертификаты. |
| контейнер ключей | Логическое хранилище в Microsoft Windows для хранения сертификатов. |
| Доверенный издатель | Издатель, сертификат Authenticode которого был добавлен в список доверия сертификатов (CTL) на клиентском компьютере. |
В крупных организациях издатель и средство развертывания часто являются двумя отдельными сущностями:
Издатель — это группа, которая создает приложение ClickOnce.
Развёртывающий — это группа, как правило, отдел информационных технологий (ИТ), который отвечает за распределение приложения ClickOnce на корпоративные настольные компьютеры.
Чтобы воспользоваться преимуществами развертывания доверенных приложений, выполните следующие действия.
Получите сертификат для издателя.
Добавьте издателя в хранилище доверенных издателей на всех клиентских устройствах.
Создайте приложение ClickOnce.
Подпишите манифест развертывания сертификатом издателя.
Опубликовать развертывание приложения на клиентских компьютерах.
Получение сертификата для издателя
Цифровые сертификаты являются основным компонентом системы проверки подлинности и безопасности Microsoft Authenticode. Authenticode — это стандартная часть операционной системы Windows. Все приложения ClickOnce должны быть подписаны цифровым сертификатом независимо от того, участвуют ли они в развертывании доверенных приложений. Полное описание работы Authenticode с ClickOnce см. в разделе ClickOnce и Authenticode.
Добавление издателя в хранилище доверенных издателей
Чтобы приложение ClickOnce получило более высокий уровень доверия, необходимо добавить сертификат в качестве доверенного издателя на каждый клиентский компьютер, на котором будет работать приложение. Настройка этой задачи выполняется один раз. После завершения вы можете развернуть столько приложений ClickOnce, подписанных сертификатом издателя, как вы хотите, и все они будут работать с высоким уровнем доверия.
При развертывании приложения в управляемой настольной среде; например, корпоративная интрасеть под управлением операционной системы Windows; Вы можете добавить доверенных издателей в хранилище клиента, создав список доверия сертификатов (CTL) с помощью групповой политики. Дополнительные сведения см. в разделе "Создание списка доверия сертификатов" для объекта групповой политики.
Если вы не развертываете приложение в управляемой настольной среде, у вас есть следующие варианты для добавления сертификата в хранилище доверенных издателей:
Пространство System.Security.Cryptography имен.
CertMgr.exe, который устанавливается с помощью пакета SDK для Windows. Дополнительные сведения см. в разделеCertmgr.exe (средство диспетчера сертификатов).
Создание приложения ClickOnce
Приложение ClickOnce — это клиентское приложение .NET Framework в сочетании с файлами манифеста, описывающими приложение и предоставляющие параметры установки. Вы можете превратить программу в приложение ClickOnce с помощью команды "Опубликовать " в Visual Studio. Кроме того, можно создать все файлы, необходимые для развертывания ClickOnce, с помощью средств, включенных в пакет SDK для Windows. Подробные инструкции по развертыванию ClickOnce см. в пошаговом руководстве. Развертывание приложения ClickOnce вручную.
Развертывание доверенных приложений относится к ClickOnce и может использоваться только с приложениями ClickOnce.
Подпишите развертывание
После получения сертификата его необходимо использовать для подписания вашего развертывания. Если вы развертываете приложение с помощью мастера публикации Visual Studio, мастер автоматически создаст тестовый сертификат для вас, если вы не указали сертификат самостоятельно. Вы также можете использовать окно конструктора проектов Visual Studio, однако для предоставления сертификата, предоставленного Центром сертификации. См. также практическое руководство. Публикация приложения ClickOnce с помощью мастера публикации.
Caution
Не рекомендуется развертывать приложение с помощью тестового сертификата.
Вы также можете подписать приложение с помощью средств пакета SDK Mage.exe или MageUI.exe . Дополнительные сведения см. в пошаговом руководстве. Развертывание приложения ClickOnce вручную. Полный список параметров командной строки, связанных с подписанием развертывания, см. в разделе Mage.exe (Средство генерации и редактирования манифестов).
Публикация приложения
Как только вы подпишите манифесты ClickOnce, приложение будет готово к публикации в каталог установки. Расположение установки может быть веб-сервером, общей папкой или локальным диском. Когда клиент впервые обращается к манифесту развертывания, менеджер доверия должен определить, предоставлены ли приложению ClickOnce полномочия на выполнение с более высоким уровнем доверия установленным доверенным издателем. Менеджер доверия делает этот выбор, сравнивая сертификат, используемый для подписывания развертывания, с сертификатами, хранящимися в хранилище доверенных издателей клиента. Если диспетчер доверия находит совпадение, приложение выполняется с высоким уровнем доверия.
Развертывание доверенных приложений и повышение прав
Если текущий издатель не является доверенным, диспетчер доверия будет использовать запрос на повышение разрешений, чтобы спросить у пользователя, хочет ли он предоставить приложению повышенные разрешения. Если разрешение на повышение прав отключено администратором, приложение не может получить разрешение на выполнение. Приложение не будет работать, и пользователю не будет отображаться уведомление. Дополнительные сведения о повышении прав разрешений см. в разделе "Защита приложений ClickOnce".
Ограничения развертывания доверенных приложений
Развертывание доверенных приложений можно использовать для предоставления повышенного доверия приложениям ClickOnce, развернутым в Интернете или через корпоративную общую папку. Вам не нужно использовать развертывание доверенных приложений для приложений ClickOnce, распределенных на компакт-диске, так как по умолчанию эти приложения предоставляют полное доверие.