Einrichten von HTTPS mit SSL (Secure Sockets Layer) für Team Foundation Server
Sie können die Sicherheit der Visual Studio Team Foundation Server (TFS)-Bereitstellung erhöhen, indem Sie sie für die Verwendung von Hypertext Transfer Protocol Secure (HTTPS) mit Secure Sockets Layer (SSL) konfigurieren. Sie können festlegen, dass entweder dieses Protokoll erforderlich sein soll, wodurch die Sicherheit der Bereitstellung maximiert wird, oder dass zusätzlich zum Standardprotokoll (HTTP) HTTPS mit SSL unterstützt wird. Wenn Sie Release Management für Visual Studio 2013 verwenden, können Sie auch hierfür die Verwendung von HTTPS mit SSL konfigurieren, allerdings können HTTP und HTTPS mit SSL nicht gleichzeitig unterstützt werden.
Bevor Sie eine Konfiguration auswählen, informieren Sie sich über die Vorteile und Nachteile, die hier beschrieben werden. Wenn Sie die am besten für die Sicherheitsanforderungen in Ihrer Organisation geeignete Konfiguration gefunden haben, führen Sie zur Konfiguration der Bereitstellung die in diesem Thema beschriebenen Schritte aus.
In diesem Thema
Konzeptionelle Informationen
Vorteile einer zusätzlichen Unterstützung von HTTPS mit SSL neben HTTP
Vorteile der verbindlichen Verwendung von HTTPS mit SSL für alle Verbindungen
Nachteile der Unterstützung oder verbindlichen Verwendung von HTTPS mit SSL
Voraussetzungen
Annahmen
Serverkonfiguration
Abrufen eines Zertifikats
Anfordern, Installieren und Konfigurieren von Websites mit einem Zertifikat
Konfigurieren der Firewall
Konfigurieren von SQL Server Reporting Services
Konfigurieren von HTTPS für TFS
Optionale Konfigurationsaufgaben
Testen des Zugriffs auf die Bereitstellung (optional)
Konfigurieren der Bereitstellung für die verbindliche Verwendung von HTTPS mit SSL (optional)
Buildkonfiguration
Installieren des Zertifikats auf Buildservern
Aktualisieren der Buildkonfiguration
Konfiguration von Release Management
Release Management und TFS
Konfigurieren von Release Management Server für die Verwendung von HTTPS
Herstellen aller Release Management-Verbindungen mit HTTPS
Clientkonfiguration
Konfigurieren von Clientcomputern
Git-Repositorykonfiguration
- Konfigurieren von Git für Zertifikate
Vorteile einer zusätzlichen Unterstützung von HTTPS mit SSL neben HTTP
Wenn Sie die Bereitstellung von TFS für die Unterstützung von beiden Protokollen konfigurieren, stellen Benutzer, deren Computer für die Verwendung von HTTPS mit SSL konfiguriert wurden, mithilfe dieses Protokolls eine Verbindung her. Die Sicherheit der Bereitstellung wird dadurch erhöht. Außerdem können Benutzer, deren Computer für HTTP konfiguriert wurden, nach wie vor eine Verbindung mit der Bereitstellung herstellen. Obwohl Sie diese Konfiguration nicht über öffentliche Netzwerke bereitstellen sollten, können Sie die folgenden Vorteile nutzen, indem Sie weiterhin HTTP-Verbindungen in einer gesteuerten Netzwerkumgebung unterstützen:
Sie können die Sicherheit der Bereitstellung im Laufe der Zeit erhöhen, indem Sie Clientcomputer für HTTPS mit SSL konfigurieren (je nach Vereinbarkeit mit Ihrem Zeitplan). Wenn Sie die entsprechenden Schritte in Phasen ausführen möchten, müssen Sie nicht alle Computer gleichzeitig aktualisieren, und Benutzer, deren Computer noch nicht aktualisiert wurden, können nach wie vor eine Verbindung mit der Bereitstellung herstellen.
Sie können Team Foundation Server leichter konfigurieren und verwalten.
Aufrufe, die von einem Webdienst an einen anderen Webdienst gerichtet werden, laufen über HTTP schneller ab als über HTTPS mit SSL. Sie können daher weiterhin HTTP-Verbindungen von Clientcomputern unterstützen, bei denen Sicherheitsrisiken zugunsten von Leistungsanforderungen in den Hintergrund rücken.
Vorteile der verbindlichen Verwendung von HTTPS mit SSL für alle Verbindungen
Wenn Sie für alle Verbindungen HTTPS mit SSL als verbindlich festlegen, bietet dies folgende Vorteile:
Alle Webverbindungen zwischen der Anwendungs-, Daten- und Clientebene für Team Foundation sind sicherer, da sie Zertifikate erfordern.
Sie können Zugriffe einfacher steuern, indem Sie Zertifikate so konfigurieren, dass sie am voraussichtlichen Ende einer Projektphase ablaufen.
Nachteile der Unterstützung oder verbindlichen Verwendung von HTTPS mit SSL
Bevor Sie TFS so konfigurieren, dass HTTPS mit SSL unterstützt oder als verbindlich festgelegt wird, sollten Sie sich über die folgenden Nachteile im Klaren sein:
Laufende Verwaltungsaufgaben könnten verkompliziert werden. Beispiel: Unter Umständen muss die Bereitstellung neu konfiguriert werden, um die Unterstützung von HTTPS mit SSL zu beenden, bevor Service Packs oder andere Updates angewendet werden können.
Eine Zertifizierungsstelle und Zertifikatsvertrauenslisten müssen nicht nur konfiguriert, sondern auch verwaltet werden. Sie können Zertifikatdienste in Windows Server 2003 und Windows Server 2008 verwenden, möchten aber möglicherweise nicht die Zeit und die Ressourcen investieren, die für die Bereitstellung einer sicheren Public Key-Infrastruktur (PKI) erforderlich sind.
Sie müssen mit einem hohen Zeitaufwand für das Einrichten und Testen der Konfigurationen rechnen, und die Problembehandlung für die Bereitstellung wird komplizierter.
Wenn Sie weiterhin beide Protokolle unterstützen, werden externe Verbindungen unter Umständen nicht verschlüsselt, wenn die Anwendungsebene für Team Foundation nicht angemessen gesichert wird.
Wenn Sie die Verwendung von HTTPS mit SSL als verbindlich festlegen, laufen Vorgänge in der Bereitstellung langsamer ab.
Konfigurieren der Bereitstellung für die Unterstützung oder die verbindliche Verwendung von HTTPS mit SSL
Die Prozeduren in diesem Thema beschreiben einen Prozess zum Anfordern, Ausgeben und Zuweisen von Zertifikaten, die für SSL-Verbindungen in TFS erforderlich sind. Wenn Sie andere Software als die in diesem Thema beschriebene verwenden, müssen Sie ggf. andere Schritte ausführen. Zur Unterstützung von externen Verbindungen für die Bereitstellung von TFS müssen Sie in Internetinformationsdienste (IIS) die Standard- oder die Digestauthentifizierung bzw. beide Authentifizierungsformen aktivieren.
Durch Ausführen der folgenden Prozeduren in diesem Thema führen Sie die folgenden Aufgaben aus:
Abrufen von Zertifikaten für die Bereitstellung von Team Foundation Server und die Websites, die für die Bereitstellung verwendet werden.
Installieren und Zuweisen der Zertifikate.
Konfigurieren von Team Foundation Server.
Konfigurieren von Team Foundation Build.
Konfigurieren von Release Management für Visual Studio 2013
Konfigurieren von Clientcomputern.
Voraussetzungen
Zum Ausführen der Prozeduren in diesem Thema müssen zunächst die folgenden Voraussetzungen erfüllt sein:
Die logischen Komponenten in den Daten- und Anwendungsebenen von Team Foundation müssen installiert, für TFS selbst jedoch nicht unbedingt konfiguriert werden. Diese Ebenen umfassen IIS, SQL Server und alle weiteren Komponenten, die Sie möglicherweise integriert haben, beispielsweise SharePoint-Produkte, Team Foundation Build, Release Management und SQL Server Reporting Services.
Die Prozeduren in diesem Thema beziehen sich auf den Server bzw. die Server, auf denen die logischen Komponenten in der Anwendungsebene für Team Foundation und die Datenebene für Team Foundation ausgeführt werden. Die Anwendungs- und Datenebenen werden möglicherweise auf dem gleichen Server oder auf mehreren Servern ausgeführt, wie in Team Foundation Server-Installationshandbuch beschrieben.
Sie müssen über eine Zertifizierungsstelle verfügen, mit der Sie Zertifikate ausstellen können, oder eine Zertifizierungsstelle eines Drittanbieters mit einer vertrauenswürdigen Kette abonniert haben. In diesem Thema wird davon ausgegangen, dass Sie als Zertifizierungsstelle Zertifikatdienste verwenden, Sie können jedoch jede Zertifizierungsstelle, die Sie für die Bereitstellung konfiguriert haben, oder auch Zertifikate von vertrauenswürdigen Drittanbieter-Zertifizierungsstellen verwenden. Wenn Sie keine Zertifizierungsstelle besitzen, können Sie Zertifikatdienste installieren und eine Zertifizierungsstelle konfigurieren. Weitere Informationen finden Sie in einer der folgenden Dokumentationen auf der Microsoft-Website:
Für Windows Server 2012: Active Directory-Zertifikatdienste
Für Windows Server 2008: Active Directory Certificate Services and Public Key Management (Active Directory-Zertifikatdienste und Verwaltung öffentlicher Schlüssel, ggf. in englischer Sprache)
Erforderliche Berechtigungen
Sie müssen Administrator sein, um alle Komponenten der Bereitstellung für HTTPS und SSL konfigurieren zu können. Wenn Sie eine verteilte Bereitstellung verwenden, in der verschiedene Personen Administratorberechtigungen für einzelne Komponenten besitzen (beispielsweise SharePoint), müssen Sie sich mit diesen Personen absprechen, um die Konfiguration abzuschließen.
Insbesondere müssen Sie der Gruppe Team Foundation-Administratoren angehören, und Sie müssen der Gruppe Administratoren auf Anwendungsebene, Datenebene und für TFS-Proxyserver oder Server für Team Foundation angehören. Um einen Buildserver konfigurieren zu können, müssen Sie der Gruppe Administratoren auf dem Server angehören. Um Release Management konfigurieren zu können, müssen Sie der Gruppe Administratoren auf dem Server angehören, der Release Management Server hostet, und müssen Mitglied der Rolle Release Manager in Release Management sein. Wenn für die Bereitstellung SharePoint-Produkte verwendet wird, müssen Sie der Gruppe Administratoren auf dem Server angehören, der als Host für die SharePoint-Zentraladministration fungiert. Sie müssen auch der Gruppe Farmadministratoren angehören. Wenn die Bereitstellung Berichterstellung verwendet, müssen Sie Mitglied einer Verwaltungssicherheitsgruppe sein oder über die entsprechenden Berechtigungen verfügen, die einzeln für das Konfigurieren von Reporting Services festgelegt sind. Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungsreferenz für Team Foundation Server.
Annahmen
In den Prozeduren in diesem Thema wird davon ausgegangen, dass die folgenden Bedingungen erfüllt sind:
Der bzw. die Datenebenen- und Anwendungsebenenserver wurden in einer sicheren Umgebung installiert und bereitgestellt und entsprechend den empfohlenen Sicherheitsvorgehensweisen konfiguriert.
Sie haben Release Management für Visual Studio 2013 installiert.
Sie kennen sich mit der Konfiguration und Verwaltung von PKIs und der Anforderung, Ausstellung und Zuweisung von Zertifikaten aus.
Sie haben praktische Erfahrungen mit der Netzwerktopologie der Entwicklungsumgebung, und Sie sind mit der Konfiguration von Netzwerkeinstellungen, IIS und SQL Server vertraut.
Abrufen eines Zertifikats
Bevor Sie TFS für die Verwendung von HTTPS mit SSL konfigurieren, müssen Sie ein Serverzertifikat für die Server in der Bereitstellung abrufen und installieren. Um ein Serverzertifikat abzurufen, müssen Sie eine eigene Zertifizierungsstelle installieren und konfigurieren oder eine Zertifizierungsstelle einer externen Organisation verwenden, der Sie vertrauen (Drittanbieterzertifikate).
Weitere Informationen zum Installieren einer Zertifizierungsstelle finden Sie in den folgenden Themen auf der Microsoft-Website:
Für Windows Server 2012: Bereitstellen einer AD CS-PKI-Hierarchie mit zwei Ebenen
Für Windows Server 2008: Active Directory Certificate Services and Public Key Management (Active Directory-Zertifikatdienste und Verwaltung öffentlicher Schlüssel, ggf. in englischer Sprache)
Anfordern, Installieren und Konfigurieren von Websites mit einem Zertifikat
Nachdem Sie sich bei einer Zertifizierungsstelle eingetragen haben, müssen Sie entweder mit IIS-Manager ein Zertifikat anfordern oder das Zertifikat manuell auf jedem der folgenden Server in der Bereitstellung installieren:
Jeder Anwendungsebenenserver.
Jeder Server, auf dem Team Foundation Server Proxy ausgeführt wird, sofern Server für die Bereitstellung konfiguriert wurden.
Jeder Server, auf dem Team Foundation-Builddienst entweder als Buildcontroller oder Build-Agent ausgeführt wird, sofern Server für die Bereitstellung konfiguriert wurden.
Jeder Server, auf dem Release Management Server ausgeführt wird, oder alle Server¹ in einer Releaseumgebung, auf denen Deployment Agent ausgeführt wird, falls Release Management Teil der Bereitstellung ist.
Jeder Server, auf dem SharePoint-Produkte ausgeführt wird, sofern SharePoint-Produkte für die Bereitstellung konfiguriert wurden.
Hinweis
Bei der Konfiguration einer SharePoint-Website für die Verwendung von HTTPS und Zertifikaten müssen häufig zusätzliche Schritte ausgeführt werden, wie z. B. Konfigurieren alternativer Zugriffszuordnungen und Konfigurieren der Authentifizierungsinfrastruktur.Weitere Informationen finden Sie in der aktuellen SharePoint-Dokumentation für Ihre Version des Produkts.
Der Server, auf dem SQL Server Reporting Services ausgeführt wird, sofern ein Server für die Bereitstellung konfiguriert wurde.
Außerdem müssen die Clientcomputer in der Bereitstellung in der Zertifikatkette registriert sein und das erforderliche Zertifikat anfordern. Wenn Sie Release Management verwenden, gehören hierzu alle Computer, auf denen Release Management Client ausgeführt wird, sowie alle Clients¹, auf denen Deployment Agent in Releaseumgebungen ausgeführt wird. Wenn Projekte Git für die Versionskontrolle verwenden, müssen Benutzer in diesen Projekten auch Git auf ihren Computern konfigurieren, um das Clientzertifikat erkennen und verwenden zu können. Informationen darüber, wie ein Clientzertifikat einer bestimmten Zertifizierungsstelle angefordert wird, finden Sie in der Dokumentation für diese Zertifizierungsstelle.
¹ Clients und Server werden hier getrennt aufgeführt, dies ist jedoch lediglich eine Konvention dieses Dokuments. Das Zertifikat muss auf allen Computern installiert werden, auf denen Deployment Agent ausgeführt wird.
Öffnen Sie den IIS-Manager (Internet Information Services, Internetinformationsdienste).
Erweitern Sie den Server, navigieren Sie zu Serverzertifikate, erstellen Sie die Zertifikatsanforderung, und schließen Sie diese ab.
Weitere Informationen finden Sie unter Konfigurieren von Serverzertifikaten in IIS 7.
Importieren Sie das Zertifikat.
Nun müssen Sie jede Website, die dieses Zertifikat benötigt, mit den entsprechenden Einstellungen konfigurieren (ausgenommen die Release Management-Website, die wir später konfigurieren). Insbesondere müssen Sie dies für jede der folgenden Websites ausführen:
Standardwebsite
Team Foundation Server
Microsoft Team Foundation Server Proxy (wenn von der Bereitstellung verwendet)
SharePoint-Zentraladministration (wenn die Bereitstellung SharePoint verwendet)
Auf jedem Server, der eine Website hostet, die Sie konfigurieren möchten, öffnen Sie Internetinformationsdienste (IIS)-Manager.
Erweitern Sie Computername, erweitern Sie Sites, öffnen Sie das Untermenü für die Website, die Sie konfigurieren möchten (beispielsweise Team Foundation Server), und wählen Sie anschließend Bindungen im Bereich "Aktionen".
Wählen Sie unter Websitebindungen die Option Hinzufügen.
Das Dialogfeld Websitebindung hinzufügen wird angezeigt.
Klicken Sie in der Liste Typ auf https.
Geben Sie in Port eine andere Portnummer ein.
Wichtig
Die Standardportnummer für SSL-Verbindungen ist 443, doch Sie müssen eine eindeutige Portnummer für jede der folgenden Websites zuweisen: Standardwebsite, Team Foundation Server, Microsoft Team Foundation Server Proxy (bei Verwendung durch die Bereitstellung) und SharePoint-Zentraladministration (wenn die Bereitstellung SharePoint verwendet).
Notieren Sie sich die SSL-Portnummer für jede Website, die Sie konfigurieren.Sie müssen diese Nummern in der Verwaltungskonsole für Team Foundation angeben.
Wählen Sie unter SSL-Zertifikat das Zertifikat, das Sie importiert haben, dann OK, und schließen Sie dann die Seite "Bindungen".
Öffnen Sie auf der Homepage für die Website, die Sie konfigurieren, die Ansicht Funktionen.
Klicken Sie unter IIS auf Authentifizierung.
Wählen Sie eine Authentifizierungsmethode, die Sie konfigurieren möchten, öffnen Sie deren Untermenü, und aktivieren, deaktivieren oder bearbeiten Sie zusätzliche Konfigurationseinstellungen Ihren Sicherheitsanforderungen entsprechend. Wenn Sie beispielsweise anonyme Authentifizierung deaktivieren möchten, wählen Sie die Methode "Anonyme Authentifizierung", und wählen Sie anschließend im Menü "Aktionen" die Option "Deaktivieren".
Nachdem Sie die Konfiguration abgeschlossen haben, starten Sie Webdienste neu.
Konfigurieren der Firewall
Sie müssen die Firewall so konfigurieren, dass Datenverkehr durch die SSL-Ports zugelassen wird, die Sie soeben in IIS angegeben haben. Weitere Informationen finden Sie in der Dokumentation zu Ihrer Firewall.
Wichtig
Testen Sie den Datenverkehr mit einem anderen Computer über die festgelegten Ports.Wenn Sie nicht auf die Standardwebsite oder Team Web Access zugreifen können, prüfen Sie erneut die Porteinstellungen, die Sie für diese Websites in IIS angegeben haben, und überprüfen Sie, ob die Firewall so konfiguriert ist, dass sie Datenverkehr über diese Ports zulässt.
Konfigurieren von SQL Server Reporting Services
Wenn die Bereitstellung Berichterstellung verwendet, müssen Sie SQL Server Reporting Services so konfigurieren, dass HTTPS mit SSL unterstützt wird und der Port verwendet wird, den Sie in IIS für Team Foundation Server angegeben haben. Andernfalls funktioniert der Berichtsserver für die Bereitstellung nicht ordnungsgemäß. Weitere Informationen finden Sie unter Konfigurieren eines Berichtsservers für Secure Sockets Layer (SSL)-Verbindungen.
Tipp
Wenn in Ihrer Bereitstellung keine Berichterstellung verwendet wird, können Sie diese Prozedur auslassen.
Konfigurieren von HTTPS für TFS
Führen Sie die folgenden Schritte aus, um die TFS-Bereitstellung mit den HTTPS-Ports und den Werten zu konfigurieren, die Sie in IIS für die Standard- und die Team Foundation Server-Website konfiguriert haben.
So rekonfigurieren Sie Team Foundation Server für die Verwendung oder Anforderung von HTTPS
Öffnen Sie die Verwaltungskonsole für Team Foundation, und navigieren Sie zum Anwendungsebenenknoten.
Wählen Sie unter Anwendungsebene - Zusammenfassung die Option URLs ändern.
Das Fenster URLs ändern wird geöffnet.
Geben Sie in Benachrichtigungs-URL die HTTPS-URL ein, die Sie für die Team Foundation Server-Website in IIS konfiguriert haben.
Beispiel: Sie haben konfiguriert, dass für die Website Port 444 verwendet werden soll. In diesem Fall geben Sie "https://Servername:444/tfs" ein. Stellen Sie sicher, dass Sie den vollqualifizierten Domänennamen des Servers anstelle von "localhost" verwenden.
Wählen Sie Test aus. Wählen Sie nicht OK, wenn der Test nicht erfolgreich abgeschlossen wurde. Wechseln Sie zurück, und überprüfen Sie, ob Sie die richtige URL und die richtigen Portinformationen eingegeben haben, ob alle Firewalls so konfiguriert sind, dass sie Datenverkehr über diese Anschlüsse erlauben, und ob die Website verfügbar ist und im IIS-Manager ausgeführt wird.
Wenn Sie HTTPS als verbindlich festlegen möchten, wählen Sie in Server-URL Verwenden, und geben Sie dann die HTTPS-URL ein, die Sie für die Team Foundation Server-Website konfiguriert haben.
Stellen Sie sicher, dass Sie den vollqualifizierten Domänennamen des Servers anstelle von "localhost" verwenden.
Wählen Sie Testen, und wählen Sie dann OK, wenn der Test erfolgreich verlaufen ist.
Wenn von der Bereitstellung SharePoint-Produkte verwendet wird, wählen Sie in der Verwaltungskonsole SharePoint-Webanwendungen. Andernfalls überspringen Sie die nächsten sechs Schritte.
Wählen Sie unter SharePoint-Webanwendungen in der Liste Name eine Webanwendung und dann Ändern.
Die Seite SharePoint-Webanwendungseinstellungen wird geöffnet.
Ändern Sie in Webanwendungs-URL die URL in den HTTPS-Wert für die Anwendung.
Ändern Sie in URL der Zentraladministration die URL in den HTTPS-Wert für die Zentraladministrationswebsite.
(Optional) Ändern Sie den Wert in Anzeigename entsprechend der HTTPS-Adresse dieser Anwendung.
Klicken Sie auf OK.
Wiederholen Sie die vorherigen fünf Schritte für jede SharePoint-Webanwendung in der Bereitstellung.
Wenn von der Bereitstellung Reporting Services verwendet werden, wählen Sie in der Verwaltungskonsole auf Berichterstellung. Andernfalls überspringen Sie den Rest dieser Prozedur.
Wählen Sie unter Berichterstellung die Option Bearbeiten.
Wenn das Dialogfeld Offline schalten geöffnet wird, wählen Sie OK aus.
Das Fenster Berichterstellung wird geöffnet.
Wählen Sie die Registerkarte Berichte. Geben Sie in URLs für Berichtsserver die HTTPS-URLs für Webdienst und Berichts-Manager ein, und klicken Sie dann auf OK.
Testen des Zugriffs auf die Bereitstellung
Sie sollten testen, ob die Änderungen erwartungsgemäß funktionieren. Dieser Schritt ist optional, wird jedoch dringend empfohlen.
So testen Sie den Zugriff auf die Bereitstellung
Öffnen Sie auf einem Computer, der nicht die Anwendungsebene hostet, einen Webbrowser, und navigieren Sie zu einer Teamhomepage.
Überprüfen Sie, ob Sie von Team Web Access auf die Teams und Projekte (einschließlich der Verwaltungsseiten) zugreifen können.
Wenn Sie über Team Web Access nicht auf die Bereitstellung zugreifen können, prüfen Sie die Schritte, die Sie soeben ausgeführt haben, und vergewissern Sie sich, ob Sie alle Konfigurationsänderungen ordnungsgemäß vorgenommen haben.
Konfigurieren der Bereitstellung für die verbindliche Verwendung von HTTPS mit SSL (optional)
Sie können für alle Verbindungen mit der TFS-Anwendung die Verwendung von HTTPS mit SSL als verbindlich festlegen. Diese zusätzliche Sicherheitsmaßnahme ist optional, wird jedoch empfohlen.
So legen Sie SSL-Verbindungen als verbindlich fest
Wählen Sie auf dem Server, der die zu konfigurierende Website hostet, Start aus, wählen Sie Verwaltung und dann Internetinformationsdienste (IIS)-Manager aus.
Führen Sie die entsprechenden Schritte für die von Ihnen verwendete Version von IIS aus:
Für Bereitstellungen, die IIS 7.0 verwenden:
Erweitern Sie Computername, erweitern Sie Websites, und wählen Sie dann die Website aus, die Sie konfigurieren möchten.
Wählen Sie auf der Homepage für diese Website SSL-Einstellungen aus.
Aktivieren Sie im Bereich SSL-Einstellungen das Kontrollkästchen SSL erforderlich.
Aktivieren Sie das Kontrollkästchen 128-Bit-SSL erforderlich (optional).
Wählen Sie unter Clientzertifikate je nach den Sicherheitsanforderungen für die Bereitstellung Ignorieren, Akzeptieren oder Erfordern.
Wählen Sie in Aktionen die Option Übernehmen.
Wiederholen Sie diese Schritte für jede Website, für die Sie die verbindliche Verwendung von SSL festlegen möchten.
Installieren des Zertifikats auf Buildservern
Wenn Sie Team Foundation-Builddienst auf mindestens einem Server installiert haben, müssen Sie das Zertifikat im Speicher für vertrauenswürdige Stammzertifizierungsstellen der einzelnen Server installieren. Weitere Informationen finden Sie weiter vorne in diesem Thema unter Abrufen eines Zertifikats und Anfordern, Installieren und Konfigurieren von Websites mit einem Zertifikat. Sowohl der Controller als auch der Agent erfordern ein Zertifikat mit einem privaten Schlüssel, mit dem sie sich in HTTPS-Verbindungen identifizieren.
Hinweis
Um Buildvorgänge über SSL auszuführen, muss das Zertifikat im vertrauenswürdigen Stammspeicher sowohl auf dem Buildcontroller als auch auf dem Build-Agent installiert sein.
Aktualisieren von Buildkonfigurationen
Um Team Foundation Build für SSL-Verbindungen zu konfigurieren, müssen Sie den Builddienst für die Verwendung der HTTPS-URL konfigurieren, die Sie für die Anwendungsebene und die Auflistung konfiguriert haben, die von der Buildkonfiguration unterstützt werden. Sie müssen diese URL für jede Buildkonfiguration in der Bereitstellung konfigurieren.
So legen Sie fest, dass für eine Buildkonfiguration HTTPS verwendet werden soll
Auf dem Server, der als Host für die Buildkonfiguration fungiert, die Sie konfigurieren möchten, öffnen Sie die Verwaltungskonsole für Team Foundation.
Erweitern Sie unter Team Foundation den Namen des Servers, und klicken Sie dann auf Buildkonfiguration.
Der Bereich Buildkonfiguration wird angezeigt.
Klicken Sie unter der Dienstkonfiguration auf Beenden und dann auf Eigenschaften.
Das Dialogfeld Builddiensteigenschaften wird geöffnet.
Stellen Sie in Kommunikation sicher, dass in der URL für die Teamprojektsammlung die richtige HTTPS-Adresse und der vollständigen Servername verwendet werden.
Wählen Sie unter Lokaler Builddienst-Endpunkt (eingehend) die Option Ändern.
Das Dialogfeld Builddienst-Endpunkt wird geöffnet.
Überprüfen Sie in Endpunktdetails, ob die Portnummer den Konfigurationsdetails entspricht.
Wählen Sie unter Protokoll die Option HTTPS.
Klicken Sie in der Liste SSL-Zertifikate auf das Zertifikat, das Sie installiert und für die Verwendung mit dieser Bereitstellung konfiguriert haben, und klicken Sie dann auf OK.
Klicken Sie im Dialogfeld Builddiensteigenschaften auf Start.
Release Management und TFS
Sie können Release Management mit HTTPS vollständig getrennt von TFS bereitstellen, unabhängig davon, welches Protokoll Sie für TFS verwenden oder ob Sie TFS überhaupt verwenden. Egal für welche Release Management-Bereitstellungsmethode Sie sich entscheiden, die Anweisungen für die Erstellung einer sicheren Bereitstelle für Release Management ähneln sehr den hier beschriebenen Anweisungen für TFS. Der Hauptunterschied ist das Verfahren zum Binden des HTTPS-Protokolls an die Release Management-Website, das weiter unten erläutert wird.
Arbeiten Sie zum Bereitstellen von Release Management mit HTTPS die folgende Aufgabenliste durch. Wenn Sie Release Management mit TFS konfigurieren, überspringen Sie alle Aufgaben, die Sie ggf. bereits im Rahmen der TFS-Konfiguration ausgeführt haben.
Rufen Sie ein Zertifikat ab. Weitere Informationen finden Sie unter Abrufen eines Zertifikats.
Konfigurieren Sie Release Management Server für die Verwendung von HTTPS. Informationen finden Sie im nächsten Abschnitt, Konfigurieren von Release Management Server für die Verwendung von HTTPS.
Installieren Sie das Zertifikat im vertrauenswürdigen Stammspeicher jedes Computers, auf dem Release Management Client oder Microsoft Deployment Agent ausgeführt wird. Weitere Informationen finden unten unter Konfigurieren von Clientcomputern.
Öffnen Sie alle eventuell vorhandenen Firewalls. Nachdem Sie die Zertifikate installiert haben, öffnen Sie alle für SSL-Datenverkehr benötigten Ports. Weitere Informationen finden Sie unter Konfigurieren der Firewall.
Testen Sie. Die Website für Release Management Server ist nicht für das Browsen konfiguriert; um ihre Verfügbarkeit zu testen, verbinden Sie sie daher mit Release Management Client, verbinden Sie die Agents in Ihrer Umgebung, und führen Sie dann ein Release durch. Weitere Informationen finden Sie unter Herstellen aller Release Management-Verbindungen mit HTTPS und Verwalten Ihrer Releases.
Konfigurieren von Release Management Server für die Verwendung von HTTPS
Release Management unterstützt entweder das HTTPS- oder das HTTP-Protokoll, nicht jedoch die gleichzeitige Verwendung beider Protokolle. Verwenden Sie dieses Verfahren, um das HTTPS-Protokoll an die Release Management-Website zu binden.
Wählen Sie in Release Management Server HTTPS aus, geben Sie die für HTTPS-Datenverkehr zu verwendende Portnummer in das Feld Webdienstport ein, und wählen Sie dann Einstellungen übernehmen.
Öffnen Sie den IIS-Manager (Internet Information Services, Internetinformationsdienste).
Erweitern Sie Computername, erweitern Sie Websites, öffnen Sie das Untermenü für die Release Management-Website, und wählen Sie dann Bindungen im Bereich "Aktionen" aus.
Wählen Sie unter Websitebindungen die Option Hinzufügen.
Klicken Sie in der Liste Typ auf https.
Geben Sie in Port eine andere Portnummer ein. Dies ist lediglich eine temporäre Portnummer, die zum Abschließen der Konfiguration erforderlich ist.
Wählen Sie unter SSL-Zertifikat das zu verwendende Zertifikat aus, wählen Sie dann OK, und schließen Sie die Seite "Bindungen".
Die ursprüngliche HTTP-Bindung und die soeben erstellte HTTPS-Bindung werden angezeigt.
Wählen Sie die ursprüngliche HTTP-Bindung aus, und wählen Sie Entfernen.
Wählen Sie die HTTPS-Bindung aus, und klicken Sie auf Bearbeiten.
Ändern Sie im Feld Port den in Schritt 6 eingegebenen temporären Wert in die Portnummer, die Sie in Release Management Server in Schritt 1 verwendet haben, und wählen Sie dann OK und Schließen.
Die HTTPS-Portbindung auf der Release Management-Website in IIS entspricht dem Port, den Sie ursprünglich im Release Management Server-Konfigurationstool eingegeben haben.
Herstellen aller Release Management-Verbindungen mit HTTPS
Nachdem die Zertifikate auf allen Computern installiert wurden, auf denen Release Management Client und Microsoft Deployment Agent ausgeführt werden, können Sie die Computer über SSL mit Release Management Server verbinden. Wenn TFS HTTPS mit SSL verwendet, müssen Sie die TFS-Verbindung für die Verwendung von HTTPS konfigurieren.
Sie richten zum ersten Mal eine TFS-Verbindung ein? Dann finden Sie hier einige zusätzliche Schritte und Anforderungen an Kontoberechtigungen. Weitere Informationen finden Sie unter Verbinden der Releaseverwaltung mit TFS.
Verbinden von Release Management Client mit Release Management Server über HTTPS
Starten Sie Release Management Client.
Tipp
Wenn die Fehlermeldung ausgegeben wird, dass Sie keinen Zugriff mehr auf den Server haben, können Sie Release Management Client neu installieren, oder Sie können mit einem Befehlszeilentool unter Angabe des neuen Ports und Protokolls vom Client auf den Server verweisen.Weitere Informationen finden Sie in diesem Blogbeitrag.
Wählen Sie Verwaltung und dann die Option Einstellungen aus.
Wählen Sie für Release Management Server-URL die Option Bearbeiten aus.
Wählen Sie im Dialogfeld Dienste konfigurieren "HTTPS" aus, und geben Sie den vollqualifizierten Domänennamen und den SSL-Port von Release Management Server ein; klicken Sie anschließend auf OK. Sie werden zum Neustarten der Anwendung aufgefordert.
Verbinden von Microsoft Deployment Agent mit Release Management Server über HTTPS
Starten Sie Microsoft Deployment Agent.
Geben Sie im Feld Release Management Server die URL für Release Management Server ein, und wählen Sie Einstellungen übernehmen. Denken Sie daran, das HTTPS-Protokoll zu verwenden und den vollqualifizierten Domänennamen für den Server sowie den in ISS eingerichteten Port anzugeben.
Verbinden von Release Management Server mit TFS über HTTPS
Starten Sie Release Management Client.
Wählen Sie Verwaltung und dann die Option TFS verwalten aus.
Ändern Sie das Verbindungsprotokoll in HTTPS, aktualisieren Sie den Port (falls erforderlich), und wählen Sie Überprüfen.
Konfigurieren von Clientcomputern
Auf jedem Clientcomputer, von dem Benutzer auf Team Foundation zugreifen, müssen Sie das Zertifikat lokal installieren und den Clientcache für jeden Benutzer löschen, der von diesem Computer aus auf Team Foundation zugegriffen hat. Andernfalls sind die Benutzer nicht in der Lage, von diesem Computer aus eine Verbindung mit Team Foundation herzustellen. Weitere Informationen finden Sie unter Verwalten von vertrauenswürdigen Stammzertifikaten.
Wichtig
Führen Sie diese Schritte nicht für Computer aus, auf denen sowohl Team Foundation Server als auch mindestens ein Client von Team Foundation ausgeführt werden.
So installieren Sie das Zertifikat auf einem Clientcomputer
Melden Sie sich mit einem Konto, das zur Gruppe Administratoren gehört, an diesem Computer an.
Installieren Sie das Zertifikat im Ordner Vertrauenswürdige Stammzertifizierungsstellen für den lokalen Computer.
So löschen Sie den Cache auf einem Clientcomputer
Melden Sie sich mit den Anmeldeinformationen des Benutzers, dessen Cache Sie löschen möchten, am Computer an.
Schließen Sie alle geöffneten Instanzen von Visual Studio.
Öffnen Sie in einem Browserfenster den folgenden Ordner:
Laufwerk**:\Users\Benutzername\AppData\Local\Microsoft\Team Foundation\4.0\Cache**
Löschen Sie den Inhalt des Cacheverzeichnisses. Stellen Sie sicher, dass alle Unterordner gelöscht werden.
Wählen Sie Start und dann Ausführen aus. Geben Sie devenv /resetuserdata ein, und klicken Sie anschließend auf OK.
Wiederholen Sie diese Schritte für das Konto jedes Benutzers, der von diesem Computer aus auf Team Foundation zugegriffen hat.
Hinweis
Sie möchten ggf. Anweisungen zum Löschen des Caches an alle Team Foundation-Benutzer verteilen, damit sie die Caches selbst löschen können.
So verbinden Sie Clientcomputer mit der neu konfigurierten Bereitstellung
Stellen Sie in Visual Studio mithilfe der neuen HTTPS-URL eine Verbindung mit Team Foundation Server her.
Weitere Informationen finden Sie unter Herstellen einer Verbindung mit Teamprojekten in Team Foundation Server.
Konfigurieren von Git
Standardmäßig wird bei Projekten, die Git zur Versionskontrolle verwenden, das SSL-Zertifikat nicht akzeptiert, das Sie für TFS konfiguriert haben. Der Grund ist, das Git (anders als TFS und Visual Studio) den Windows-Zertifikatspeicher nicht erkennt. Stattdessen wird OpenSSL für den Zertifikatspeicher verwendet. Um ein Git-Repository für Projekte verwenden zu können, die mit SSL konfiguriert sind, müssen Sie Git mit dem Zertifikat am Stamm der Zertifizierungskette für Ihre TFS 2013-Bereitstellung konfigurieren. Dies ist eine Clientkonfigurationsaufgabe, die nur für Git-Repositoryprojekte gilt.
Weitere Informationen über die Funktionsweise von Git-Netzwerkvorgängen in Visual Studio 2013 finden Sie in diesem Blogbeitrag.
Tipp
Für andere Aufgaben zur Verwaltung von Git-Anmeldeinformationen, beispielsweise die Windows-Authentifizierung, können Sie Windows Credential Store for Git herunterladen und installieren.
So konfigurieren Sie den Zertifikatspeicher für Git
Melden Sie sich mit einem Konto, das zur Gruppe Administratoren gehört, an diesem Computer an.
Überprüfen Sie, ob das erforderliche Zertifikat auf dem Computer installiert und konfiguriert wurde (wie oben gezeigt).
In Ihrem unterstützten Webbrowser extrahieren Sie das TFS-Stammzertifikat als eine Base64-codierte-X.509-CER/PEM-Datei.
Erstellen Sie eine private Kopie des Git-Stammzertifikatsspeichers, und fügen Sie diese der privaten Benutzerkopie des Speichers hinzu.
Eine vollständige exemplarische Vorgehensweise für diese Prozedur (einschließlich Bildschirmabbildungen) finden Sie in Philip Kelleys Blog.
Siehe auch
Weitere Ressourcen
Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)
Team Foundation Server, HTTPS, and Secure Sockets Layer (SSL)