Tutorial: Configurar Team Foundation Server para exigir HTTPS y Secure Sockets Layer (SSL)
Actualización: noviembre 2007
En el tutorial siguiente se describe un proceso para exigir a los clientes de Team Foundation que utilicen HTTPS y SSL (Capa de sockets seguros) para conectarse a Visual Studio Team System 2008 Team Foundation Server. Para admitir conexiones externas a sus implementaciones de Team Foundation Server, debe configurar Internet Information Services (IIS) para habilitar la autenticación básica o implícita. Además, debe configurar un filtro de Interfaz de programación de aplicaciones para servidores de Internet (ISAPI).
A lo largo de este tutorial, llevará a cabo las tareas siguientes:
Crear una solicitud de certificado para los sitios web de Team Foundation Server.
Enviar la solicitud de certificado y crear el archivo de certificado binario.
Instalar y asignar el certificado.
Configurar Team Foundation Server para exigir HTTPS y SSL.
Instalar el certificado en los equipos cliente.
Probar el certificado.
Requisitos previos
Para completar este tutorial:
Los componentes lógicos que conforman el nivel de datos de Team Foundation y nivel de aplicación de Team Foundation Server deben estar instalados y en funcionamiento. En este tutorial se hace referencia al servidor o servidores que ejecutan los componentes lógicos que constituyen el nivel de aplicación de Team Foundation como el servidor de nivel de aplicación de Team Foundation. Asimismo, se hace referencia al servidor o servidores que ejecutan los componentes lógicos que comprenden el nivel de datos de Team Foundation como el servidor de nivel de datos de Team Foundation. Según la configuración de su implementación, el servidor de nivel de aplicación de Team Foundationy el servidor de nivel de datos de Team Foundation podrían ser el mismo servidor físico o uno o varios servidores físicos diferentes. Para obtener más información, vea la Guía de instalación de Team Foundation. La versión más reciente de la Guía de instalación de Team Foundation puede descargarse en el Centro de descarga de Microsoft (https://go.microsoft.com/fwlink/?linkid=79226).
Para expedir certificados debe disponer de una entidad de certificación (CA). En este tutorial se da por supuesto que va a usar los servicios de Certificate Server de Microsoft como CA. Si no tiene una entidad de certificación, puede instalar servicios de Certificate Server de Microsoft y configurar una. Para obtener más información, vea el sitio web de Microsoft (https://go.microsoft.com/fwlink/?LinkId=70929).
Si configura un agente de compilación para las conexiones SSL:
Team Foundation Build y Team Explorer deben estar instalados y en funcionamiento.
Debe haberse emitido un certificado para el agente de compilación.
Las Herramientas de soporte de Windows deben estar instaladas en el equipo de compilación. Estas herramientas son necesarias para asociar un certificado a una dirección IP y un puerto. Para obtener más información, vea "Windows Support Tools" (https://go.microsoft.com/fwlink/?LinkId=93827).
Permisos necesarios
Para realizar este procedimiento, debe ser miembro del grupo Administradores de los servidores de nivel de aplicación y nivel de datos de Team Foundation y miembro del grupo Administradores de Team Foundation. Para configurar un agente de compilación para las conexiones SSL, debe ser miembro del grupo Administradores en el equipo de compilación. Para obtener más información acerca de los permisos, vea Permisos de Team Foundation Server.
Suposiciones
En este tutorial se da por supuesto lo siguiente:
El servidor de nivel de datos de Team Foundation y el servidor de nivel de aplicación de Team Foundation se han instalado e implementado en un entorno seguro y se han configurado de acuerdo con los procedimientos de seguridad recomendados.
El administrador que configura Team Foundation Server con SSL está familiarizado con las infraestructuras de claves públicas (PKI) y con los certificados, lo que incluye saber cómo solicitar, emitir y asignar certificados. Para obtener más información sobre las PKI y los certificados, vea el sitio web de Microsoft (https://go.microsoft.com/fwlink/?LinkId=70930).
El administrador está familiarizado con la configuración de Internet Information Services (IIS), Microsoft SQL Server y los parámetros de redes, y además tiene conocimientos prácticos sobre la topología de red del entorno de desarrollo.
Instalar servicios de Certificate Server de Microsoft
Este tutorial utiliza servicios de Certificate Server de Microsoft como entidad de certificación para expedir los certificados. Para mayor comodidad en este tutorial, se instalan servicios de Certificate Server en el servidor de nivel de aplicación de Team Foundation, pero puede elegir el software de entidad de certificación y la configuración de implementación que mejor se adapten a sus necesidades comerciales. Por motivos de seguridad, debe estudiar la posibilidad de aislar su entidad de certificación raíz cuando implemente los servicios de Certificate Server en una implementación de producción. El aislamiento físico del servidor de la entidad de certificación en un lugar al que sólo tengan acceso los administradores de seguridad, puede reducir significativamente el riesgo de manipulación. Para obtener más información sobre las características de servicios de Certificate Server de Microsoft, vea el sitio web de Microsoft (https://go.microsoft.com/fwlink/?LinkId=70929).
Precaución: |
---|
Una vez que haya instalado servicios de Certificate Server de Microsoft, no podrá cambiar el nombre del equipo ni el dominio en el cual éste se ha dado de alta. Si cambia el dominio o el nombre del equipo, se invalidará el certificado expedido por la entidad de certificación. |
Para instalar servicios de Certificate Server de Microsoft
Haga clic en Inicio, elija Panel de control y haga clic en Agregar o quitar programas.
Haga clic en Agregar o quitar componentes de Windows.
En el Asistente para componentes de Windows, haga clic en Servicios de Certificate Server en la lista Componentes.
Revise el texto del cuadro de mensaje y, a continuación, haga clic en Sí.
Haga clic en Siguiente para iniciar la instalación.
En la página Tipo de CA, seleccione CA raíz independiente y haga clic en Siguiente.
En la página Identificación de la CA, escriba el nombre del equipo en Nombre común para esta entidad de certificación.
En Período de validez, cambie la duración del certificado a seis (6) meses y haga clic en Siguiente.
En la página Configuración de la base de datos de certificados, haga clic en Siguiente sin realizar ningún cambio.
Aparecerá un cuadro de mensaje que muestra que Internet Information Services deben detenerse.
En el cuadro de mensaje, haga clic en Sí.
Aparecerá la página Configuración de componentes.
Si aparece un cuadro de mensaje con información sobre páginas Active Server (ASP), haga clic en Sí.
Haga clic en Finalizar.
Crear una solicitud de certificado para los sitios Web de Team Foundation Server
En el equipo de nivel de aplicación, debe crear una solicitud de certificado para Team Foundation Server mediante el Administrador de Internet Information Services (IIS).
Para crear una solicitud de certificado para los sitios Web de Team Foundation Server
En el menú Inicio, haga clic en Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).
Expanda nombre del equipo(equipo local) y expanda Sitios Web.
Haga clic con el botón secundario del mouse en Team Foundation Server y, a continuación, en Propiedades.
En Propiedades del servidor Team Foundation Server, haga clic en la ficha Seguridad de directorios.
Bajo Comunicaciones seguras, haga clic en Certificado de servidor.
Aparecerá el Asistente para certificados de servidor Web. Haga clic en Siguiente.
En la página Certificado de servidor, haga clic en Crear un certificado nuevo y, a continuación, en Siguiente.
En la página Petición demorada o inmediata, haga clic en Siguiente.
En la página Nombre y configuración de seguridad, haga clic en Siguiente sin realizar ningún cambio.
En la página Información de la organización, especifique los valores para Organización y Unidad de organización. Por ejemplo, escriba el nombre de su empresa en Organización y el nombre de su equipo o grupo en Unidad de organización. Haga clic en Siguiente.
En la página Nombre común de su sitio Web, haga clic en Siguiente sin realizar ningún cambio.
En la página Información geográfica, especifique la información apropiada en los cuadros País o región, Estado o provincia y Ciudad o localidad y haga clic en Siguiente.
En la página Nombre de archivo de la petición de certificado, bajo Nombre de archivo, especifique la ubicación en la que desea guardar el archivo de la solicitud de certificado y el nombre del archivo y, a continuación, haga clic en Siguiente.
Nota: Asegúrese de que el archivo se guarda en un recurso compartido de red o en otra ubicación a la que se pueda tener acceso desde el equipo de la entidad de certificación.
Revise la información que se muestra en la página Resumen del archivo de petición y haga clic en Siguiente.
Haga clic en Finalizar.
Haga clic en Aceptar para salir del cuadro de diálogo Propiedades del servidor Team Foundation Server.
Enviar una solicitud de certificado y crear un archivo de certificado binario
Después de haber creado la solicitud de certificado, deberá hacer que la entidad de certificación, en este caso los servicios de Certificate Server de Microsoft, expida un certificado basado en la solicitud. Una vez que se crea el certificado, puede asignárselo a los sitios Web correspondientes mediante Internet Information Services.
Para enviar una solicitud de certificado mediante los servicios de Certificate Server de Microsoft
Haga clic en Inicio, elija Herramientas administrativas y seleccione Entidad de certificación.
En el panel Explorador, haga clic con el botón secundario del mouse en el nombre del equipo, seleccione Todas las tareas y haga clic en Enviar solicitud nueva.
En el cuadro de diálogo Abrir archivo de solicitud, localice el archivo de texto de la solicitud de certificado que creó en el procedimiento anterior y, a continuación, haga clic en Abrir.
En el panel Explorador, expanda el nombre del equipo y haga clic en Peticiones pendientes.
Tome nota del valor de Id. de petición correspondiente a la solicitud pendiente.
Haga clic con el botón secundario del mouse en la solicitud, seleccione Todas las tareas y haga clic en Emitir.
En la ventana Explorador, bajo el nombre del equipo, seleccione, Certificados emitidos y revise los certificados mostrados para comprobar que el Id. de solicitud del certificado emitido coincide con el valor de la solicitud.
En Certificados emitidos, haga clic con el botón secundario del mouse en el certificado emitido, seleccione Todas las tareas y haga clic en Exportar datos binarios.
En Columnas que contienen datos binarios, seleccione Certificado binario. Bajo Opciones de exportación, seleccione Guardar datos binarios en un archivo y haga clic en Aceptar.
En Guardar datos binarios, guarde el archivo en un dispositivo de discos portátil o en un recurso compartido de red al que tenga acceso el equipo de nivel de aplicación de Team Foundation.
Salga de Entidad de certificación.
Instalar y asignar el certificado
Para poder usar SSL con Team Foundation Server, deberá instalar el certificado de servidor en el sitio web del servidor de Team Foundation Server y, a continuación, configurar HTTPS en los sitios web relacionados con Team Foundation Server. Entre estos sitios Web relacionados se encuentran los siguientes:
El sitio web predeterminado
La administración central de SharePoint
El servidor de informes
Instalar el certificado de servidor
Siga estos pasos para instalar el certificado de servidor en Team Foundation Server.
Para instalar el certificado de servidor en el sitio web del servidor Team Foundation Server
En el servidor de nivel de aplicación de Team Foundation, haga clic en Inicio, Herramientas administrativas y, a continuación, en Administrador de Internet Information Services (IIS).
Expanda <nombre del equipo> (equipo local) y, a continuación, expanda Sitios Web.
Haga clic con el botón secundario del mouse en Team Foundation Server y, a continuación, en Propiedades.
En Propiedades del servidor Team Foundation Server, haga clic en la ficha Seguridad de directorios.
Bajo Comunicaciones seguras, haga clic en Certificado de servidor.
Aparecerá el Asistente para certificados de servidor Web. Haga clic en Siguiente.
En la página Petición de certificado pendiente, seleccione Procesar la petición pendiente e instalar el certificado y haga clic en Siguiente.
En la página Procesar petición pendiente, haga clic en Examinar.
En el cuadro de diálogo Abrir, bajo Tipo de archivo, seleccione Todos los archivos (*.*) en la lista desplegable y, a continuación, vaya al directorio en el que guardó el certificado binario, en el procedimiento anterior. Seleccione el archivo del certificado binario y haga clic en Abrir.
En la página Procesar petición pendiente, haga clic en Siguiente.
En la página Puerto SSL, acepte el valor predeterminado o escriba un nuevo valor y, a continuación, haga clic en Siguiente. El puerto predeterminado para las conexiones SSL es 443, pero debe asignar un valor de puerto único para cada uno de los tres sitios siguientes: el sitio web de Team Foundation Server, el sitio web predeterminado y el sitio web de Administración central de SharePoint.
Nota importante: Puede ser conveniente utilizar un número de puerto distinto del valor predeterminado, puesto que utilizar un número de puerto predeterminado puede reducir la seguridad de la implementación. Tome nota del valor del puerto SSL que asigne. Antes de aceptar el valor predeterminado, asegúrese de que no haya otro certificado de servidor que utilice el puerto. Los valores de puerto SSL deben ser diferentes para cada certificado de servidor que se instale. Por ejemplo, si aún no se ha utilizado el puerto predeterminado 443 y el usuario acepta el valor de puerto predeterminado 443 para el sitio web de Team Foundation Server, deberá asignar un valor de puerto diferente para el sitio web predeterminado y para el sitio web de Administración central de SharePoint.
Revise la información sobre la página Resumen del certificado y haga clic en Siguiente.
Haga clic en Finalizar.
En la ficha Seguridad de directorios, bajo Autenticación y control de acceso, haga clic en Editar.
En Métodos de autenticación, asegúrese de que la casilla Habilitar el acceso anónimo esté desactivada. En Acceso autenticado, active Autenticación de Windows integrada y Autenticación básica o Autenticación de texto implícita para servidores de dominio Windows, o ambas opciones, según corresponda a su implementación. Desactive todas las demás opciones y haga clic en Aceptar.
Nota: Después de hacer clic en Autenticación de texto implícita para servidores de dominio Windows, puede que el sistema le pida que confirme la opción elegida. Lea el texto y, a continuación, haga clic en Sí.
Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del servidor Team Foundation Server.
Nota: Si aparece el cuadro de diálogo Omitir herencia después de hacer clic en Aceptar, elija Seleccionar todo y haga clic en Aceptar.
Asignar el certificado al sitio web predeterminado
Siga estos pasos para configurar HTTPS en el sitio web predeterminado en Internet Information Services.
Nota: |
---|
En función de la jerarquía de certificados y la infraestructura de clave pública (PKI), también puede desear configurar IIS para la autenticación de certificados de cliente. Para obtener más información, vea Certificates (IIS 6.0), Certificate Services y Certificates en el sitio web de Microsoft. |
Para configurar HTTPS en el sitio web predeterminado y exigir SSL
En el servidor de nivel de aplicación de Team Foundation, haga clic en Inicio, Herramientas administrativas y, a continuación, en Administrador de Internet Information Services (IIS).
Expanda <nombre del equipo> (equipo local) y expanda Sitios Web.
Haga clic con el botón secundario del mouse en la carpeta Sitio Web predeterminado y seleccione Propiedades.
En Propiedades del sitio Web predeterminado, haga clic en la ficha Seguridad de directorios.
Bajo Comunicaciones seguras, haga clic en Certificado de servidor.
Aparecerá el Asistente para certificados de servidor Web. Haga clic en Siguiente.
En la página Certificado de servidor, seleccione Asignar un certificado ya existente y, a continuación, haga clic en Siguiente.
En la página Certificados disponibles, seleccione el certificado cuyo valor de Nombre descriptivo es Team Foundation Server. Puede que sea necesario desplazarse para ver la columna Nombre descriptivo en la lista. Haga clic en Siguiente.
En la página Puerto SSL, acepte el valor predeterminado o escriba un nuevo valor y, a continuación, haga clic en Siguiente. El puerto predeterminado para las conexiones SSL es 443, pero debe asignar un valor de puerto único para cada uno de los tres sitios siguientes: el sitio web de Team Foundation Server, el sitio web predeterminado y el sitio web de Administración central de SharePoint.
Nota importante: Puede ser conveniente utilizar un número de puerto distinto del predeterminado, puesto que utilizar un número de puerto predeterminado puede reducir la seguridad de la implementación. Tome nota del valor del puerto SSL. Los valores de puerto SSL deben ser diferentes para cada certificado de servidor que se instale. Por ejemplo, si acepta el valor de puerto predeterminado 443 para el sitio web de Team Foundation Server, debe asignar un valor de puerto diferente para el sitio web predeterminado y para el sitio web de Administración central de SharePoint.
Revise la información sobre la página Resumen del certificado y haga clic en Siguiente.
Haga clic en Finalizar. El asistente se cerrará.
En la ficha Seguridad de directorios, bajo Comunicaciones seguras, haga clic en Editar.
En Comunicaciones seguras, seleccione Requerir canal seguro (SSL). Asegúrese de que esté seleccionada la opción Omitir certificados de cliente y, a continuación, haga clic en Aceptar.
En la ficha Seguridad de directorios, bajo Autenticación y control de acceso, haga clic en Editar.
En Métodos de autenticación, asegúrese de que la casilla Habilitar el acceso anónimo esté desactivada. En Acceso autenticado, active Autenticación de Windows integrada y Autenticación de texto implícita para servidores de dominio Windows o Autenticación básica, o ambas opciones, según corresponda a su implementación. Desactive todas las demás opciones y haga clic en Aceptar. Para obtener más información sobre los métodos de autenticación y Team Foundation Server, vea Team Foundation Server, Autenticación básica y Autenticación implícita.
Nota: Después de hacer clic en Autenticación de texto implícita para servidores de dominio Windows, puede que el sistema le pida que confirme la opción elegida. Lea el texto y, a continuación, haga clic en Sí.
Nota importante: Debe configurar la autenticación implícita correctamente. De lo contrario, no podrá obtener acceso a Team Foundation Server. No elija la autenticación implícita a menos que las implementaciones reúnan todos los requisitos para una autenticación implícita. Para obtener más información sobre la autenticación implícita, visite el sitio web de Microsoft (https://go.microsoft.com/fwlink/?LinkId=89709).
Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del sitio Web predeterminado.
Nota: Si aparece el cuadro de diálogo Omitir herencia después de hacer clic en Aceptar, elija Seleccionar todo y haga clic en Aceptar.
Para configurar el sitio web de Team Foundation Server de modo que requiera SSL
En el servidor de nivel de aplicación de Team Foundation, haga clic en Inicio, Herramientas administrativas y, a continuación, en Administrador de Internet Information Services (IIS).
Expanda <nombre del equipo> (equipo local) y, a continuación, expanda Sitios Web.
Haga clic con el botón secundario del mouse en Team Foundation Server y, a continuación, en Propiedades.
En Propiedades del servidor Team Foundation Server, haga clic en la ficha Seguridad de directorios.
En la ficha Seguridad de directorios, bajo Comunicaciones seguras, haga clic en Editar.
En Comunicaciones seguras, seleccione Requerir canal seguro (SSL). Asegúrese de que esté seleccionada la opción Omitir certificados de cliente y, a continuación, haga clic en Aceptar.
Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del servidor Team Foundation Server.
Nota: Si aparece el cuadro de diálogo Omitir herencia después de hacer clic en Aceptar, elija Seleccionar todo y haga clic en Aceptar.
Asignar el certificado a la administración central de SharePoint
Siga estos pasos para configurar HTTPS para la Administración central de SharePoint.
Para configurar HTTPS para la Administración central de SharePoint y requerir SSL
En el servidor de nivel de aplicación de Team Foundation, haga clic en Inicio, Herramientas administrativas y, a continuación, en Administrador de Internet Information Services (IIS).
Expanda <nombre del equipo> (equipo local) y expanda Sitios Web.
Haga clic con el botón secundario del mouse en Administración central de SharePoint y haga clic en Propiedades.
En Propiedades de administración central de SharePoint, haga clic en la ficha Seguridad de directorios.
Bajo Comunicaciones seguras, haga clic en Certificado de servidor.
Aparecerá el Asistente para certificados de servidor Web. Haga clic en Siguiente.
En la página Certificado de servidor, seleccione Asignar un certificado ya existente y, a continuación, haga clic en Siguiente.
En la página Certificados disponibles, seleccione el certificado cuyo valor de Nombre descriptivo es Team Foundation Server. Puede que sea necesario desplazarse para ver la columna Nombre descriptivo en la lista.
Haga clic en Siguiente.
En la página Puerto SSL, acepte el valor predeterminado o escriba un nuevo valor y, a continuación, haga clic en Siguiente. El puerto predeterminado para las conexiones SSL es 443, pero debe asignar un valor de puerto único para cada uno de los tres sitios siguientes: el sitio web de Team Foundation Server, el sitio web predeterminado y el sitio web de Administración central de SharePoint.
Nota importante: Puede ser conveniente utilizar un número de puerto distinto del predeterminado, puesto que utilizar un número de puerto predeterminado puede reducir la seguridad de la implementación. Tome nota del valor del puerto SSL. Los valores de puerto SSL deben ser diferentes para cada certificado de servidor que se instale. Por ejemplo, si acepta el valor de puerto predeterminado 443 para el sitio web de Team Foundation Server, debe asignar un valor de puerto diferente para el sitio web predeterminado y para el sitio web de Administración central de SharePoint.
Nota: Tome nota de este valor, ya que lo necesitará para asignar el certificado al Servidor de informes de SQL.
Revise la información sobre la página Resumen del certificado y haga clic en Siguiente.
Haga clic en Finalizar.
En la ficha Seguridad de directorios, bajo Comunicaciones seguras, haga clic en Editar.
En Comunicaciones seguras, seleccione Requerir canal seguro (SSL). Asegúrese de que esté seleccionada la opción Omitir certificados de cliente y, a continuación, haga clic en Aceptar.
Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades de Administración central de SharePoint.
Configurar el filtro ISAPI
Debe crear un archivo de inicialización de ISAPI en el mismo directorio en el que se encuentre el archivo AuthenticationFilter.dll que forma parte de Team Foundation Server Service Pack 1. También debe agregar el filtro ISAPI al Registro.
Para configurar el filtro ISAPI
En el servidor de nivel de aplicación de Team Foundation, haga clic en Inicio, elija Programas, seleccione Accesorios y haga clic en Bloc de notas.
En el Bloc de notas, cree el archivo siguiente, donde ProxyAddress es la dirección IP desde la que parecerá originarse el tráfico de red externo a Team Foundation Server (normalmente un enrutador) y para la que desea exigir el uso de HTTPS/SSL y la autenticación básica o implícita, y donde SubnetMask es la combinación o combinaciones de dirección IP y máscara de red para las que no desea exigir la autenticación básica o implícita.
Nota importante: Si agrega la clave ProxyIPList al archivo, se omitirán la clave SubnetList y sus valores. Para obtener más información, vea Team Foundation Server, Autenticación básica y Autenticación implícita.
Nota: Puede haber más de un valor de ProxyAddress o SubnetMask. Separe los valores de ProxyAddress o SubnetMask con signos de punto y coma.
[config]
RequireSecurePort=true
ProxyIPList=ProxyAddress;
SubnetList=SubnetMask;
Guarde este archivo como AuthenticationFilter.ini en el mismo directorio que se encuentra AuthenticationFilter.dll. Este directorio es drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup**.
Abra una ventana de símbolo del sistema. Para abrir el símbolo del sistema, haga clic en Inicio, elija Ejecutar, escriba cmd y haga clic en Aceptar.
Nota: Incluso si ha iniciado sesión con credenciales administrativas, debe abrir un símbolo del sistema con privilegios elevados para realizar esta función en un servidor que ejecute Windows Server 2008. Para abrir un símbolo del sistema con permisos elevados, haga clic en Inicio, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Para obtener más información, visite el sitio web de Microsoft.
En el símbolo del sistema, escriba el siguiente comando:
reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v EventMessageFile /t REG_SZ /d %windir%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll /f
En el símbolo del sistema, escriba el siguiente comando:
reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v TypesSupported /t REG_DWORD /d 7 /f
En el servidor de nivel de aplicación de Team Foundation, haga clic en Inicio, Herramientas administrativas y, a continuación, en Administrador de Internet Information Services (IIS).
Expanda <nombre del equipo> (equipo local), expanda Sitios Web, haga clic con el botón secundario en Team Foundation Server y, a continuación, seleccione Propiedades.
En Propiedades del sitio Web predeterminado, haga clic en la ficha Filtros ISAPI.
En Filtros ISAPI, haga clic en Agregar.
En Agregar o modificar propiedades de filtro, escriba TFAuthenticationFilter en Nombre de filtro, escriba drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup\AuthenticationFilter.dll** en Ejecutable y haga clic en Aceptar.
Configurar el firewall para permitir el tráfico SSL
Debe configurar su firewall para permitir el tráfico en los puertos SSL especificados en Internet Information Services para el sitio web predeterminado, el sitio web de Team Foundation Server y el sitio web de Administración central de SharePoint.
Nota: |
---|
Los procedimientos para configurar su firewall de modo que permita el tráfico SSL varían según el software y el hardware de firewall utilizados en su implementación. |
Para configurar un firewall de modo que permita tráfico de red en los puertos SSL utilizados por Team Foundation Server
- Consulte la documentación del producto del firewall para determinar los pasos que es preciso realizar para permitir el tráfico de red en los puertos SSL que ha especificado para el sitio web predeterminado, el sitio web de Team Foundation Server y el sitio web de Administración central de SharePoint.
Actualizar proyectos de equipo para el Servidor de informes de SQL mediante la herramienta de la línea de comandos TFSConfigWss
Siga estos pasos si desea actualizar los sitios web de proyectos de equipo para el Servidor de informes de SQL de modo que los informes se muestren correctamente en los sitios de portal de proyectos de equipo.
Para actualizar los sitios de proyectos de equipo para el Servidor de informes de SQL
En el servidor de nivel de aplicación para Team Foundation, abra una ventana de símbolo del sistema y cambie los directorios a Unidad:\%Archivos de programa%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.
En el símbolo del sistema, escriba el comando siguiente y reemplace estas cadenas:
SharePointSite es el nuevo identificador uniforme de recursos (URI) de la colección de sitios para Productos y tecnologías de SharePoint.
Reports es el nuevo identificador URI de SQL Server Reporting Services.
ReportServer es el nuevo identificador URI del servicio web ReportsService.asmx.
**TfsConfigWss ConfigureReporting /SharepointSitesUri:SharePointSite/ReportsUri:Reports/ReportServerUri:**ReportServer
Actualización de la información de configuración de Team Foundation Server
Siga estos pasos para actualizar la información de configuración con los valores de las direcciones URL HTTPS correspondientes a los sitios web de Reporting Services y de Windows SharePoint Services.
Para actualizar la información de configuración de Team Foundation Server
En el servidor de nivel de aplicación de Team Foundation, abra una ventana de símbolo del sistema y cambie los directorios a Unidad:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.
Escriba el comando siguiente y reemplace estas cadenas:
BaseServerURL es el nuevo identificador URI del servidor web para el servidor de nivel de aplicación de Team Foundation.
BaseSiteURL es el nuevo identificador URI del sitio web predeterminado para el servidor de nivel de aplicación.
SharePointSite es el nuevo identificador URI para la colección de sitios de productos y tecnologías de SharePoint.
SharePointAdministration es el nuevo identificador URI para el sitio web de Administración central de SharePoint.
Reports es el nuevo identificador URI de SQL Server Reporting Services.
ReportServer es el nuevo identificador URI del servicio web ReportsService.asmx.
**TfsAdminUtil ConfigureConnections /ATUri:BaseServerURL/SharepointUri:BaseSiteURL/SharepointSitesUri:SharePointSite/SharepointAdminUri:SharePointAdministration/ReportsUri:Reports/ReportServerUri:**ReportServer
Nota: Si utiliza una instancia con nombre, necesitará especificar la instancia con nombre como parte de los valores de Reports y ReportServer. No elimine ni cambie el nombre de la instancia con nombre.
Por ejemplo, si especificara el puerto 443 para el valor del puerto SSL del sitio web de Team Foundation, 1443 para el valor del puerto SSL del sitio web predeterminado en IIS y 2443 para el valor de puerto de Administración central de SharePoint, y el nombre del servidor de nivel de aplicación fuera Contoso1, el valor se debería modificar del modo siguiente:
**TfsAdminUtil ConfigureConnections /ATUri:**https://Contoso1:443 **/SharepointUri:**https://Contoso1:1443 **/SharepointSitesUri:https://Contoso1:1443/Sites/SharepointAdminUri:**https://Contoso1:2443 /ReportsUri:https://Contoso1:1443/Reports/ReportServerUri:https://Contoso1:1443/ReportServer
Nota: El comando ConfigureConnections tiene varias opciones adicionales, como actualizar la dirección web pública utilizada en los avisos de correo electrónico. Para obtener más información, vea Comando ConfigureConnections.
Configurar Reporting Services para las conexiones SSL
Siga estos pasos para configurar Reporting Services de modo que requiera el uso de SSL.
Para configurar el Servidor de informes para las conexiones SSL
En el servidor de nivel de aplicación de Team Foundation, haga clic en Inicio, en Programas, en Microsoft SQL Server 2005, en Herramientas de configuración y, a continuación, en Configuración de Reporting Services.
En el cuadro de diálogo Selección de instancia de instalación del servidor de informes, asegúrese de que los nombres de la instancia y del equipo sean correctos y haga clic en Conectar.
En el panel Explorador, haga clic en Directorio virtual del servidor de informes.
En Configuración de directorio virtual del servidor de informes, seleccione Requiere conexiones SSL (Capa de sockets seguros). En Necesario para, seleccione 1 - Conexiones. En Nombre de certificado, escriba el nombre del nivel de aplicación de Team Foundation y, a continuación, haga clic en Aplicar.
Cierre el Administrador de configuración de Reporting Services.
Instalar el certificado en los equipos de compilación
Si instala Build Services en uno o más servidores, debe instalar el certificado en todos ellos.
Nota: |
---|
Para poder ejecutar compilaciones mediante SSL, el certificado debe estar instalado en el almacén raíz de confianza tanto del equipo correspondiente a la cuenta en la que se ejecuta el servicio de generación como del equipo que inicia la generación. |
Para instalar el certificado en los equipos de compilación
Inicie sesión en el equipo de compilación mediante una cuenta que sea miembro del grupo Administradores de ese equipo.
Abra un explorador y abra el sitio web siguiente, donde CertificateServer es el nombre de su servidor de certificados y port es el número del puerto SSL que asignó a la entidad de certificación:
https://CertificateServer:port/services/v1.0/serverstatus.asmx
Aparecerá un cuadro de diálogo de mensaje de seguridad. En Alerta de seguridad, haga clic en Ver certificado.
En el cuadro de diálogo Certificado, haga clic en la página Ruta de certificación.
En Ruta de certificación, haga clic en la entidad de certificación. Éste debería ser el nodo superior de la jerarquía de certificados y debería haber una X roja al lado del nombre. Esto indica que la entidad de certificación no es confiable porque no se encuentra en el almacén Entidades de certificación raíz de confianza. Haga clic en Ver certificado.
En el cuadro de diálogo Certificado, haga clic en Instalar certificado.
Se abrirá el Asistente para importación de certificados. Haga clic en Siguiente.
En la página Almacén de certificados, seleccione Colocar todos los certificados en el siguiente almacén y haga clic en Examinar.
En Seleccionar almacén de certificados, seleccione Mostrar almacenes físicos. En Seleccione el almacén de certificados que quiere usar, expanda Entidades emisoras de certificados raíz de confianza, seleccione Equipo local y haga clic en Aceptar.
En la página Almacén de certificados, haga clic en Siguiente.
En la página Finalización del Asistente para importación de certificados, haga clic en Finalizar.
Puede que aparezca un cuadro de diálogo del Asistente para importación de certificados que confirmará que la importación se realizó correctamente. Si el cuadro de diálogo aparece, haga clic en Aceptar.
En el cuadro de diálogo Certificado, haga clic en Aceptar. Se cerrará el cuadro de diálogo Certificado del nodo superior de la jerarquía de certificados.
En el cuadro de diálogo Certificado, haga clic en Aceptar. Se cerrará el cuadro de diálogo Certificado del certificado subordinado.
En Alerta de seguridad, haga clic en No.
Abra un explorador y abra el sitio web siguiente, donde CertificateServer es el nombre de su servidor de certificados y port es el número del puerto SSL que asignó a la entidad de certificación:
https://CertificateServer:port/services/v1.0/serverstatus.asmx
Debería abrirse la página Servicio Web ServerStatus. Así se confirma que ha instalado correctamente el certificado y la entidad de certificación. Cierre el explorador.
Configurar un agente de compilación para las conexiones SSL
Para configurar un agente de compilación para conexiones SSL, debe configurar un certificado HTTPS para cada combinación de dirección IP y puerto. Si todos los agentes de compilación comparten el mismo puerto en el equipo de compilación, sólo debe configurar un único certificado. Si ejecuta varios agentes de compilación en varios puertos, debe configurar un certificado para cada puerto.
Para configurar un agente de compilación que requiera SSL, realice el procedimiento siguiente en el orden indicado:
Cree y configure el agente de compilación para que requiera HTTPS.
Detenga el servicio Team Foundation Build de Visual Studio.
Modifique la configuración del servicio de compilación de forma que requiera HTTPS.
Asocie un certificado a la dirección IP y al puerto.
Configure el puerto y el protocolo para el agente de compilación.
Reinicie el servicio Team Foundation Build de Visual Studio.
Compruebe la configuración SSL.
Para configurar el agente de compilación para que requiera HTTPS
Abra el cuadro de diálogo Administrar agentes de compilación y active la casilla Requiere canal seguro (HTTPS).
Para obtener más información, vea Cómo: Crear y administrar agentes de compilación.
Haga clic en Editar.
Aparece el cuadro de diálogo Propiedades de agente de compilación.
En la lista Estado de agente, haga clic en Deshabilitado.
Para detener el servicio Visual Studio Team Foundation Build
Inicie sesión en el equipo de compilación mediante una cuenta que sea miembro del grupo Administradores de ese equipo.
En el equipo de compilación, haga clic en Inicio, en Panel de control, en Herramientas administrativas y, a continuación, en Servicios.
En el panel Servicios (Local), haga clic con el botón secundario del mouse en Visual Studio Team Foundation Build y haga clic en Propiedades.
Aparece el cuadro de diálogo Propiedades de Visual Studio Team Foundation Build (equipo local).
En Estado del servicio, haga clic en Detener.
Para modificar la configuración del servicio de compilación de forma que requiera HTTPS
Inicie sesión en el equipo de compilación mediante una cuenta que sea miembro del grupo Administradores de ese equipo.
Abra Unidad:\Archivos de programa\Microsoft Visual Studio 2008\Common7\IDE\PrivateAssemblies, haga clic con el botón secundario del mouse en TfsBuildservice.config.exe y haga clic en Abrir.
El archivo se abre en el editor de XML de Visual Studio.
En la sección <appSettings>, cambie el valor de la clave RequireSecureChannel a "true". Por ejemplo, cambie la definición de clave a la cadena siguiente:
<add key="RequireSecureChannel" value="true" />
Guarde los cambios y cierre el archivo.
Para asociar un certificado SSL a una dirección IP y número de puerto
Inicie sesión en el equipo de compilación mediante una cuenta que sea miembro del grupo Administradores de ese equipo.
Utilice el complemento de certificados para buscar un certificado X.509 especialmente diseñado para la autenticación cliente.
Para obtener más información, vea "How To: Retrieve the Thumbprint of a Certificate" (https://go.microsoft.com/fwlink/?LinkId=93828).
Copie la huella digital del certificado en un editor de texto, como el Bloc de notas.
Quite todos los espacios entre los caracteres hexadecimales.
Puede realizar esta tarea utilizando la característica de buscar y reemplazar del editor de texto para reemplazar cada espacio por un carácter nulo.
En el equipo de compilación, haga clic en Inicio, en Todos los programas, en Herramientas de soporte de Windows y luego en Símbolo del sistema.
Ejecute la herramienta HttpCfg.exe en modo "set" en el almacén de SSL para enlazar el certificado a un número de puerto. La herramienta utiliza la huella digital para identificar el certificado, como se muestra en el ejemplo siguiente:
httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces
El parámetro /i tiene la sintaxis DirecciónIP:Puerto e indica a la herramienta que establezca el certificado en el puerto 9191 del equipo de compilación. La dirección IP 0.0.0.0 reserva todas las direcciones del equipo por motivos de simplicidad. Si necesita mayor precisión, especifique la dirección IP exacta en la que se publica el servicio del agente. El parámetro /h especifica la huella digital del certificado.
Si se debe negociar el certificado del cliente, agregue el parámetro /f 2 como se muestra en el ejemplo siguiente:
httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces /f 2
Para obtener más información sobre la sintaxis del comando HttpCfg.exe, vea "How To: Configure a Port with An SSL Certificate" (https://go.microsoft.com/fwlink/?LinkId=93829).
Para configurar el puerto y el protocolo del agente de compilación
En el símbolo del sistema, ejecute wcfhttpconfigfreeNúmeroDePuerto. La instrucción del comando debe ser similar a la siguiente cadena:
wcfhttpconfig free OldPortForHttp
Para obtener más información, vea wcfhttpconfig (Team Foundation Build).
En el símbolo del sistema, ejecute wcfhttpconfigreserveCuentaDeUsuarioURL. La instrucción del comando debe ser similar a la siguiente:
wcfhttpconfig reserve Domain\Account https://+Computer:NewPortForHttps/Build/v2.0/AgentService.asmx
Agregue el puerto a la lista de excepciones de Firewall de Windows.
Para reiniciar el servicio Visual Studio Team Foundation Build
Inicie sesión en el equipo de compilación mediante una cuenta que sea miembro del grupo Administradores de ese equipo.
En el equipo de compilación, haga clic en Inicio, en Panel de control, en Herramientas administrativas y, a continuación, en Servicios.
En el panel Servicios (Local), haga clic con el botón secundario del mouse en Visual Studio Team Foundation Build y haga clic en Propiedades.
Aparece el cuadro de diálogo Propiedades de Visual Studio Team Foundation Build (equipo local).
En Estado del servicio, haga clic en Iniciar.
Para comprobar la configuración SSL
Abra el cuadro de diálogo Administrar agentes de compilación.
Para obtener más información, vea Cómo: Crear y administrar agentes de compilación.
Haga clic en Editar.
Aparece el cuadro de diálogo Propiedades de agente de compilación.
En la lista Estado de agente, haga clic en Habilitado.
Compruebe si hay comunicación ejecutando una compilación mediante el agente de compilación.
Para obtener más información, vea Cómo: Poner en cola o iniciar una definición de compilación.
Instalar el certificado en los equipos de Proxy de Team Foundation Server
Si ha instalado el servidor proxy de Team Foundation Server en uno o varios equipos, debe instalar el certificado en todos ellos.
Nota: |
---|
Además del procedimiento siguiente, debe configurar todos los firewall para que el equipo proxy permita el tráfico en los puertos SSL que especificó para Team Foundation Server. Los procedimientos para configurar su firewall de este modo varían según el software y el hardware de firewall utilizados en su implementación. |
Para instalar el certificado en los equipos de Proxy de Team Foundation Server
Inicie sesión en el servidor proxy de Team Foundation Server mediante una cuenta que sea miembro del grupo Administradores de ese equipo.
Abra un explorador y abra el sitio web siguiente, donde CertificateServer es el nombre de su servidor de certificados y port es el número del puerto SSL que asignó a la entidad de certificación:
https://CertificateServer:port/services/v1.0/serverstatus.asmx
Aparecerá un cuadro de diálogo de mensaje de seguridad. En Alerta de seguridad, haga clic en Ver certificado.
En el cuadro de diálogo Certificado, haga clic en la página Ruta de certificación.
En Ruta de certificación, haga clic en la entidad de certificación. Éste debería ser el nodo superior de la jerarquía de certificados y debería haber una X roja al lado del nombre. Esto indica que la entidad de certificación no es confiable porque no se encuentra en el almacén Entidades de certificación raíz de confianza. Haga clic en Ver certificado.
En el cuadro de diálogo Certificado, haga clic en Instalar certificado.
Se abrirá el Asistente para importación de certificados. Haga clic en Siguiente.
En la página Almacén de certificados, seleccione Colocar todos los certificados en el siguiente almacén y haga clic en Examinar.
En Seleccionar almacén de certificados, seleccione Mostrar almacenes físicos. En Seleccione el almacén de certificados que quiere usar, expanda Entidades emisoras de certificados raíz de confianza, seleccione Equipo local y haga clic en Aceptar.
En la página Almacén de certificados, haga clic en Siguiente.
En la página Finalización del Asistente para importación de certificados, haga clic en Finalizar.
Puede que aparezca un cuadro de diálogo del Asistente para importación de certificados que confirmará que la importación se realizó correctamente. Si este cuadro de diálogo aparece, haga clic en Aceptar.
En el cuadro de diálogo Certificado, haga clic en Aceptar. Se cerrará el cuadro de diálogo Certificado del nodo superior de la jerarquía de certificados.
En el cuadro de diálogo Certificado, haga clic en Aceptar. Se cerrará el cuadro de diálogo Certificado del certificado subordinado.
En Alerta de seguridad, haga clic en No.
Abra un explorador y abra el sitio web siguiente, donde CertificateServer es el nombre de su servidor de certificados y port es el número del puerto SSL que asignó a la entidad de certificación:
https://CertificateServer:port/services/v1.0/serverstatus.asmx
Debería abrirse la página Servicio Web ServerStatus. Así se confirma que ha instalado correctamente el certificado y la entidad de certificación. Cierre el explorador.
Instalar el certificado en los equipos cliente
El certificado debe instalarse localmente en todos los equipos cliente que tienen acceso a Team Foundation Server. Además, si el equipo cliente ha tenido acceso previamente a un proyecto de equipo de Team Foundation Server, deberá borrar la caché del cliente correspondiente a todos y cada uno de los usuarios que utilicen el equipo para conectarse a Team Foundation Server para que esos usuarios puedan conectarse a Team Foundation Server.
Nota importante: |
---|
No siga este procedimiento para los clientes de Team Foundation que están instalados en el servidor que está ejecutando Team Foundation Server. |
Para instalar el certificado en los equipos cliente de Team Foundation
Inicie sesión en el equipo cliente de Team Foundation mediante una cuenta que sea miembro del grupo Administradores de ese equipo.
Abra un explorador y abra el sitio web siguiente, donde CertificateServer es el nombre de su servidor de certificados y port es el número del puerto SSL que asignó a la entidad de certificación:
https://CertificateServer:port/services/v1.0/serverstatus.asmx
Aparecerá un cuadro de diálogo de mensaje de seguridad. En Alerta de seguridad, haga clic en Ver certificado.
En el cuadro de diálogo Certificado, haga clic en la página Ruta de certificación.
En Ruta de certificación, haga clic en la entidad de certificación. Éste debería ser el nodo superior de la jerarquía de certificados y debería haber una X roja al lado del nombre. Esto indica que la entidad de certificación no es confiable porque no se encuentra en el almacén Entidades de certificación raíz de confianza. Haga clic en Ver certificado.
En el cuadro de diálogo Certificado, haga clic en Instalar certificado.
Se abrirá el Asistente para importación de certificados. Haga clic en Siguiente.
En la página Almacén de certificados, seleccione Colocar todos los certificados en el siguiente almacén y haga clic en Examinar.
En Seleccionar almacén de certificados, seleccione Mostrar almacenes físicos. En Seleccione el almacén de certificados que quiere usar, expanda Entidades emisoras de certificados raíz de confianza, seleccione Equipo local y haga clic en Aceptar.
En la página Almacén de certificados, haga clic en Siguiente.
En la página Finalización del Asistente para importación de certificados, haga clic en Finalizar.
Puede que aparezca un cuadro de diálogo del Asistente para importación de certificados que confirmará que la importación se realizó correctamente. Si el cuadro de diálogo aparece, haga clic en Aceptar.
En el cuadro de diálogo Certificado, haga clic en Aceptar. Se cerrará el cuadro de diálogo Certificado del nodo superior de la jerarquía de certificados.
En el cuadro de diálogo Certificado, haga clic en Aceptar. Se cerrará el cuadro de diálogo Certificado del certificado subordinado.
En Alerta de seguridad, haga clic en No.
Abra un explorador y abra el sitio web siguiente, donde CertificateServer es el nombre de su servidor de certificados y port es el número del puerto SSL que asignó a la entidad de certificación:
https://CertificateServer:port/services/v1.0/serverstatus.asmx
Debería abrirse la página Servicio Web ServerStatus. Así se confirma que ha instalado correctamente el certificado y la entidad de certificación. Cierre el explorador.
Para borrar la caché en los equipos cliente de Team Foundation
Inicie sesión en el equipo cliente de Team Foundation mediante las credenciales del usuario que desea actualizar.
En el equipo cliente de Team Foundation, cierre todas las instancias abiertas de Visual Studio.
Abra un explorador y abra la carpeta siguiente:
unidad**:\Documents and Settings\nombreUsuario\Local Settings\Application Data\Microsoft\Team Foundation\2.0\Cache**
Elimine el contenido del directorio Caché. Asegúrese de eliminar todas las subcarpetas.
En el menú Inicio, elija Ejecutar, escriba devenv /resetuserdata y haga clic en Aceptar.
Repita estos pasos para todas las cuentas de usuario del equipo que tengan acceso a Team Foundation Server.
Nota: Puede ser conveniente distribuir instrucciones sobre cómo borrar la caché a todos los usuarios de Team Foundation Server para que puedan borrar la caché ellos mismos.
Vea también
Tareas
Tutorial: Configurar Team Foundation Server con Secure Socket Layer (SSL) y un filtro ISAPI
Conceptos
Team Foundation Server, HTTPS y Secure Sockets Layer (SSL)
Team Foundation Server, Autenticación básica y Autenticación implícita
Otros recursos
Tutoriales sobre la administración de Team Foundation
Proteger Team Foundation Server con HTTPS y Secure Sockets Layer (SSL)