Привет, я разработчик, ищущий развертывание ClickOnce для внутреннего приложения .NET Winforms, которое будет распространяться через корпоративную сеть.
Теперь я хотел бы развернуть это приложение в рамках модели полного доверия, однако для этого мне нужно подписать программное обеспечение сертификатом. Я могу сделать это с помощью «тестового» сертификата, который не содержит информации об издателе и т. Д., Однако это означает, что на рабочей станции пользователей будет выполнен дополнительный шаг, на котором они должны будут подтвердить, что программное обеспечение в порядке.
Так что я хочу знать. Есть ли способ заставить моих специалистов по ИТ-инфраструктуре создать мне «внутренний» сертификат от центра сертификации доменов, или мне нужно пойти и заплатить за сертификат у кого-то вроде VeriSign?
Спасибо
Да, вы можете создать внутренний сертификат, а затем настроить групповую политику MS, при которой каждый компьютер в домене автоматически «доверяет» любому коду, подписанному этим сертификатом.
Элемент групповой политики:
Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies
В нашем случае мы создали внутренний ЦС и поместили все сертификаты, сделанные этим ЦС, как доверенные. Т.е. он находился в разделе "Доверенный корневой центр сертификации".
если у них уже есть PKI, я не могу представить, чтобы они еще не создали доверенную корневую инфраструктуру. Обычно вы развертываете сертификат корневого ЦС в разделе доверенных корневых сертификатов политики домена по умолчанию.
Ваш ИТ-персонал должен иметь возможность создать для вас сертификат. Как вы сказали, он не будет полностью доверенным, и пользователю будет предложено доверять сертификату. Для целей тестирования это вполне приемлемый вариант. Если у вас есть отдельная группа безопасности, это может подпадать под их ответственность.