Внутренний доверенный сертификат
Привет, я разработчик, рассматривающий внедрение развертывания ClickOnce для внутреннего приложения.NET Winforms, которое будет распространяться через корпоративную сеть.
Теперь я хотел бы развернуть это приложение по модели полного доверия, однако для этого мне нужно подписать программное обеспечение сертификатом. Я могу сделать это с помощью "тестового" сертификата, в котором нет информации об издателе и т. Д., Однако это означает, что на рабочей станции пользователя будет выполнен дополнительный шаг, на котором они должны будут подтвердить, что с программным обеспечением все в порядке.
Так что я хочу знать это. есть ли способ заставить моих ребят из ИТ-инфраструктуры создать мне "внутренний" сертификат из центра сертификации доменов, или мне нужно пойти и заплатить за сертификат от кого-то вроде VeriSign?
Спасибо
3 ответа
Да, вы можете создать внутренний сертификат, а затем можно настроить групповую политику MS, при которой каждый компьютер в домене автоматически "доверяет" любому коду, подписанному этим сертификатом.
Элемент групповой политики:
Computer Configuration -> Windows Settings -> Security Settings -> Public Key Policies
В нашем случае мы создали внутренний центр сертификации и поместили все сертификаты, сделанные этим центром сертификации, в список доверенных. Т.е. это было в разделе Trusted Root Certification Authority.
Ваш ИТ-персонал должен иметь возможность создать сертификат для вас. Как вы сказали, он не будет полностью доверенным, и пользователю будет предложено доверять сертификату. Для тестирования это вполне приемлемый вариант. Если у вас есть отдельная группа безопасности, это может попасть под их ответственность.
Если у них уже есть PKI, я не могу представить, что они не создали бы доверенную корневую инфраструктуру. Обычно вы развертываете сертификат корневого ЦС в разделе доверенных корневых сертификатов политики домена по умолчанию.