Partager via


Configurer le protocole HTTPS avec le protocole SSL (Secure Sockets Layer) pour Team Foundation Server

Pour renforcer la sécurité de votre déploiement de Visual Studio Team Foundation Server (TFS), vous pouvez spécifier l'utilisation du protocole HTTPS (Hypertext Transfer Protocol Secure) avec SSL (Secure Sockets Layer). Vous pouvez soit exiger ce protocole pour maximiser la sécurité de votre déploiement, soit prendre en charge le protocole HTTPS avec SSL en plus du protocole HTTP par défaut. Si vous utilisez Release Management pour Visual Studio 2013, vous pouvez aussi le configurer pour utiliser HTTPS avec SSL. Toutefois, vous ne pouvez pas le configurer pour prendre en charge à la fois HTTP et HTTPS avec SSL.

Avant de choisir une configuration, passez en revue les avantages et les inconvénients décrits ici. Après avoir identifié la configuration qui correspond le mieux aux exigences de sécurité de votre organisation, suivez les étapes de cette rubrique pour configurer votre déploiement.

Dans cette rubrique

  • Informations conceptuelles

    • Avantages liés à la prise en charge du protocole S-HTTP avec SSL en plus d'HTTP

    • Avantages liés à l'exigence du protocole S-HTTP avec SSL pour toutes les connexions

    • Inconvénients liés à la prise en charge ou à l'exigence du protocole S-HTTP avec SSL

    • Conditions préalables

    • Assumptions (Hypothèses)

  • Configuration du serveur

    • Obtention d'un certificat

    • Demander, installer et configurer des sites web avec un certificat

    • Configuration de votre pare-feu

    • Configuration de SQL Server Reporting Services

    • Configuration de HTTPS pour TFS

  • Tâches de configuration facultatives

    • Test de l'accès à votre déploiement (facultatif)

    • Configuration de votre déploiement pour exiger le protocole S-HTTP avec SSL (facultatif)

  • Configuration de build

    • Installation du certificat sur les serveurs de builds

    • Mise à jour de la configuration de build

  • Configuration de Release Management

    • Release Management et TFS

    • Configurer Release Management Server pour utiliser HTTPS

    • Définir toutes les connexions Release Management avec HTTPS

  • Configuration client

    1. Configuration d'ordinateurs clients

    2. Configuration du référentiel Git

      1. Configurer Git pour les certificats

Avantages liés à la prise en charge du protocole S-HTTP avec SSL en plus d'HTTP

Si vous configurez votre déploiement de TFS pour prendre en charge les deux protocoles, les utilisateurs dont les ordinateurs ont été configurés pour S-HTTP avec SSL se connecteront à l'aide de ce protocole, ce qui améliore la sécurité de votre déploiement. Par ailleurs, les utilisateurs dont les ordinateurs sont configurés uniquement pour le protocole HTTP peuvent néanmoins se connecter à votre déploiement. Bien que vous ne deviez pas déployer cette configuration sur des réseaux publics, vous pouvez bénéficier des avantages suivants en continuant à prendre en charge les connexions HTTP dans un environnement réseau contrôlé :

  • Vous pouvez augmenter la sécurité de votre déploiement au fil du temps en configurant des ordinateurs clients pour S-HTTP avec SSL, si votre planning le permet. Si vous adoptez une approche synchronisée, vous n'avez pas besoin de mettre à niveau tous les ordinateurs en même temps et les utilisateurs dont les ordinateurs n'ont pas encore été mis à niveau peuvent continuer à se connecter au déploiement.

  • Vous pouvez configurer et gérer Team Foundation Server plus facilement.

  • Les appels d'un service web à un autre sont plus rapides via HTTP que via S-HTTP avec SSL. Par conséquent, vous pouvez continuer à prendre en charge des connexions HTTP d'ordinateurs clients pour lesquels les exigences en matière de performances ont plus d'importance que les problèmes de sécurité.

Avantages liés à l'exigence du protocole S-HTTP avec SSL pour toutes les connexions

Le fait d'exiger S-HTTP avec SSL pour toutes les connexions vous offre les avantages suivants :

  • Toutes les connexions web entre les couches Application, Données et cliente pour Team Foundation sont plus sécurisées, car elles exigent des certificats.

  • Vous pouvez contrôler plus facilement l'accès en configurant des certificats de manière à ce qu'ils expirent lorsqu'une phase de projet est supposée se terminer.

Inconvénients liés à la prise en charge ou à l'exigence du protocole S-HTTP avec SSL

Avant de configurer TFS pour prendre en charge ou exiger S-HTTP avec SSL, vous devez prendre en compte les inconvénients suivants :

  • Cela peut compliquer les tâches d'administration en cours. Par exemple, vous devrez peut-être reconfigurer votre déploiement pour ne plus prendre en charge S-HTTP avec SSL avant de pouvoir appliquer des Service Packs ou d'autres mises à jour.

  • Vous devez non seulement configurer, mais également gérer une autorité de certification et des approbations de certificats. Vous pouvez utiliser des services de certificats dans Windows Server 2003 et Windows Server 2008, mais vous ne souhaitez peut-être pas consacrer le temps et les ressources nécessaires au déploiement d'une infrastructure à clé publique sécurisée (PKI).

  • Vous devez consacrer beaucoup de temps à la configuration et au test de l'une ou l'autre de ces configurations. La résolution des problèmes liés à votre déploiement deviendra également plus difficile.

  • Si vous continuez à prendre en charge les deux protocoles, les connexions externes peuvent ne pas être chiffrées si la couche Application pour Team Foundation n'est pas correctement sécurisée.

  • Si S-HTTP avec SSL est exigé, votre déploiement sera plus lent.

Configuration de votre déploiement pour prendre en charge ou exiger S-HTTP avec SSL

Les procédures de cette rubrique décrivent un processus de demande, d'émission et d'assignation des certificats qui sont obligatoires pour les connexions SSL dans TFS. Si vous utilisez un logiciel différent de celui décrit dans cette rubrique, vous devrez peut-être exécuter des étapes différentes. Pour prendre en charge des connexions externes vers votre déploiement de TFS, vous devez également activer l'authentification de base, l'authentification Digest ou les deux dans Internet Information Services (IIS).

En suivant les procédures de cette rubrique, vous effectuerez les tâches suivantes :

  1. Obtenir des certificats pour votre déploiement de Team Foundation Server et les sites web qu'il utilise.

  2. Installer et assigner les certificats.

  3. Configurer Team Foundation Server.

  4. Configurer Team Foundation Build.

  5. Configurer Release Management pour Visual Studio 2013

  6. Configurer des ordinateurs clients.

Conditions préalables

Pour exécuter les procédures décrites dans cette rubrique, vous devez d'abord répondre aux conditions suivantes :

  • Les composants logiques des couches Données et Application Team Foundation doivent être installés, bien que dans le cas de TFS lui-même, ils ne soient pas nécessairement configurés. Ces couches incluent IIS, SQL Server et tous les autres composants que vous avez éventuellement intégrés, tels que Produits SharePoint, Team Foundation Build, Release Management et SQL Server Reporting Services.

    Les procédures de cette rubrique font référence au serveur ou aux serveurs qui exécutent les composants logiques dans la couche Application pour Team Foundation et la couche Données pour Team Foundation. Les couches Données et Application peuvent s'exécuter sur le même serveur ou sur plusieurs serveurs, comme décrit dans Guide d'installation de Team Foundation Server.

  • Vous devez disposer d'une autorité de certification à partir de laquelle vous pouvez émettre des certificats, ou être abonné à une autorité de certification tierce avec une chaîne approuvée. Cette rubrique suppose que vous utilisez des services de certificats en tant qu'autorité de certification, mais vous pouvez utiliser une autre autorité de certification configurée pour votre déploiement ou des certificats d'une autorité de certification tierce de confiance. Si vous ne disposez pas d'autorité de certification, vous pouvez installer les services de certificats et en configurer une. Pour plus d'informations, voir la documentation appropriée parmi les documentations disponibles sur le site web Microsoft :

Autorisations requises

Vous devez être administrateur pour configurer tous les composants de votre déploiement pour HTTPS et SSL. Si vous travaillez dans un déploiement distribué où différentes personnes ont des autorisations d'administration pour des composants individuels, tels que SharePoint, vous devez coordonner vos efforts avec ceux de ces utilisateurs pour terminer la configuration.

Vous devez notamment être membre du groupe Team Foundation Administrators et du groupe Administrateurs sur le ou les serveurs des couches Application, Données et TFS Proxy pour Team Foundation. Pour configurer un serveur de builds, vous devez appartenir au groupe Administrateurs sur ce serveur. Pour configurer Release Management, vous devez appartenir au groupe Administrateurs sur le serveur qui héberge Release Management Server et être membre du rôle Gestionnaire de versions dans Release Management. Si votre déploiement utilise Produits SharePoint, vous devez appartenir au groupe Administrateurs sur le serveur qui héberge l'Administration centrale de SharePoint. Vous devez également appartenir au groupe Administrateurs de batterie. Si votre déploiement utilise la création de rapports, vous devez être membre d'un groupe de sécurité administrateur ou disposer d'autorisations équivalentes définies individuellement pour configurer les services de création de rapports. Pour plus d'informations sur les autorisations, voir Référence des autorisations pour Team Foundation Server.

Assumptions (Hypothèses)

Les procédures de cette rubrique supposent que les conditions suivantes sont remplies :

  • Le ou les serveurs des couches Données et Application ont été installés et déployés dans un environnement sécurisé et configurés conformément aux meilleures pratiques en terme de sécurité.

  • Vous avez installé Release Management pour Visual Studio 2013.

  • Vous savez configurer et gérer les infrastructures à clé publique, ainsi que demander, émettre, et assigner des certificats.

  • Vous avez des connaissances pratiques de la topologie de réseau de l'environnement de développement et vous êtes familiarisé avec la configuration des paramètres réseau, IIS et SQL Server.

Obtention d'un certificat

Avant de configurer TFS pour utiliser S-HTTP avec SSL, vous devez obtenir et installer un certificat de serveur pour les serveurs de votre déploiement. Pour obtenir un certificat de serveur, vous devez installer et configurer votre propre autorité de certification, ou utiliser une autorité de certification d'une organisation externe digne de confiance (certificats tiers).

Pour plus d'informations sur l'installation d'une autorité de certification, voir les rubriques suivantes sur le site web Microsoft :

Demander, installer et configurer des sites web avec un certificat

Après avoir souscrit à une autorité de certification, vous devez demander un certificat à l'aide du Gestionnaire des services IIS ou installer manuellement le certificat sur chacun des serveurs suivants dans votre déploiement :

  • Chaque serveur de couche Application.

  • Chaque serveur qui exécute Team Foundation Server Proxy, si votre déploiement en comporte.

  • Chaque serveur qui exécute service Team Foundation Build en tant que contrôleur de build ou agent de build, si votre déploiement en comporte.

  • Chaque serveur qui exécute Release Management Server, ou tout autre serveur¹ dans un environnement de version qui exécute l'agent de déploiement, si Release Management fait partie de votre déploiement.

  • Chaque serveur qui exécute des Produits SharePoint, si Produits SharePoint sont configurés pour votre déploiement.

    Notes

    Des étapes supplémentaires sont souvent requises pour configurer un site SharePoint pour utiliser HTTPS et des certificats, comme la configuration des mappages des accès de substitution et la configuration de l'infrastructure d'authentification.Pour plus d'informations, voir la documentation SharePoint la plus récente correspondant à votre version du produit.

  • Le serveur qui exécute SQL Server Reporting Services, s'il est configuré pour votre déploiement.

En outre, les ordinateurs clients dans votre déploiement doivent être inscrits dans la chaîne de certificats et demander le certificat nécessaire. Si vous utilisez Release Management, sont inclus tous les ordinateurs exécutant le client Release Management, ainsi que tous les clients¹ exécutant l'agent de déploiement dans vos environnements de version. Si un ou plusieurs de vos projets utilisent Git pour le contrôle de version, les utilisateurs de ces projets devront également configurer Git sur leurs ordinateurs pour identifier et utiliser le certificat client. Pour savoir comment demander un certificat client à partir d'une autorité de certification spécifique, voir la documentation de cette autorité de certification.

¹ Les clients et les serveurs sont appelés séparément ici. Cette convention ne concerne que ce document. Le certificat doit être installé sur tout ordinateur exécutant l'agent de déploiement.

  1. Ouvrez le Gestionnaire des services Internet (IIS).

  2. Développez votre serveur, accédez aux Certificats de serveur, puis créez et remplissez la demande de certificat.

    Ouvrez le Gestionnaire des services IIS et demandez un certificat

    Créez une demande, puis terminez-la

    Pour plus d'informations, voir Configuration des certificats de serveur dans IIS.

  3. Importez le certificat.

  4. Vous devez à présent configurer chaque site web qui requiert ce certificat avec les paramètres appropriés (à l'exception du site web Release Management que vous configurerez plus tard). Vous devez notamment effectuer cela pour chacun des sites web suivants :

    • Site web par défaut

    • Team Foundation Server

    • Microsoft Team Foundation Server Proxy (si votre déploiement l'utilise)

    • Administration centrale de SharePoint (si votre déploiement utilise SharePoint)

    Sur chaque serveur qui héberge un site web à configurer, ouvrez le Gestionnaire des services internet information services (IIS).

  5. Développez NomOrdinateur, puis Sites, ouvrez le sous-menu du site web à configurer (par exemple, Team Foundation Server), puis sélectionnez Liaisons dans le volet Actions.

    Vous devez configurer les liaisons pour tous les sites

  6. Dans Liaisons du site, choisissez Ajouter.

    La boîte de dialogue Ajouter la liaison de site s'affiche.

  7. Dans la liste Type, choisissez https.

    Dans Port, tapez un numéro de port différent.

    Important

    Le numéro de port par défaut pour les connexions SSL est 443, mais vous devez assigner un numéro de port unique pour chacun des sites suivants : le site web par défaut, Team Foundation Server, Microsoft Team Foundation Server Proxy (si votre déploiement l'utilise) et l'Administration centrale de SharePoint (si votre déploiement utilise SharePoint).

    Vous devez enregistrer le numéro de port SSL de chaque site web que vous configurez.Vous devrez indiquer ces numéros dans la console d'administration de Team Foundation.

    Dans Certificat SSL, choisissez le certificat que vous avez importé, puis choisissez OK et fermez la page de liaisons.

    Assurez-vous de choisir un numéro de port unique

  8. Sur la page d'accueil du site web que vous configurez, ouvrez la vue Fonctionnalités.

  9. Sous IIS, sélectionnez Authentification.

  10. Choisissez une méthode d'authentification à configurer, ouvrez son sous-menu, puis sélectionnez Activer, Désactiver ou Modifier pour activer, désactiver ou effectuer une configuration supplémentaire sur la méthode selon vos besoins en sécurité. Par exemple, si vous souhaitez désactiver l'authentification anonyme, vous devez choisir la méthode d'authentification anonyme et choisir Désactiver dans le menu Actions.

    Choisir la méthode, puis l'action à exécuter

  11. Une fois que vous avez terminé la configuration, redémarrez les services web.

Configuration de votre pare-feu

Vous devez configurer votre pare-feu pour autoriser le trafic via les ports SSL qui vous venez de spécifier dans IIS. Pour plus d'informations, voir la documentation de votre pare-feu.

Important

Veillez à tester le trafic sur le port que vous avez spécifié à partir d'un autre ordinateur.Si vous ne pouvez pas accéder au site web par défaut ou à Team Web Access, revérifiez les paramètres de port spécifiés pour les sites web dans IIS, et assurez-vous que le pare-feu est correctement configuré pour autoriser le trafic sur ces ports.

Configuration de SQL Server Reporting Services

Si votre déploiement utilise la création de rapports, vous devez configurer des SQL Server Reporting Services pour prendre en charge S-HTTP avec SSL et utiliser le port que vous avez spécifié dans IIS pour Team Foundation Server. Sinon, le serveur de rapports ne fonctionnera pas correctement pour votre déploiement. Pour plus d'informations, voir Configuration d'un serveur de rapports pour des connexions SSL (Secure Sockets Layer).

Conseil

Si votre déploiement n'utilise pas la création de rapports, vous pouvez ignorer cette procédure.

Configuration de HTTPS pour TFS

Suivez ces étapes pour configurer votre déploiement TFS avec les ports et les valeurs HTTPS que vous avez configurés dans IIS pour les sites web par défaut et les sites web Team Foundation Server.

Pour reconfigurer Team Foundation Server pour utiliser ou nécessiter HTTPS

  1. Ouvrez la console Administration de Team Foundation et accédez au nœud de couche application.

  2. Dans Résumé de la couche Application, choisissez Modifier les URL.

    La fenêtre Modifier les URL s'ouvre.

  3. Dans URL de notification, tapez l'URL S-HTTP que vous avez configurée pour le site web Team Foundation Server dans IIS.

    Vous avez, par exemple, configuré le site web pour utiliser le port 444. Dans ce cas, tapez https://NomServeur:444/tfs. Vérifiez que vous utilisez le nom de domaine qualifié complet du serveur au lieu de localhost.

    Spécifier HTTPS, le serveur et le port dans l'adresse

  4. Choisissez Tester. Ne choisissez pas OK si le test a échoué. Revenez en arrière et vérifiez que vous avez entré l'URL et les informations sur les ports correctes, que tous les pare-feu sont configurés pour autoriser le trafic sur ces ports, et que le site est disponible et en cours d'exécution dans le Gestionnaire des services IIS.

  5. Pour exiger S-HTTP, choisissez Utiliser dans URL du serveur, puis tapez l'URL S-HTTP que vous avez configurée pour le site web Team Foundation Server.

    Vérifiez que vous utilisez le nom de domaine qualifié complet du serveur au lieu de localhost.

  6. Sélectionnez Test, puis OK si le test est réussi.

  7. Si votre déploiement utilise Produits SharePoint, choisissez Applications Web SharePoint dans la console d'administration. Dans le cas contraire, ignorez les six étapes suivantes.

  8. Dans Applications Web SharePoint, dans la liste Nom, choisissez une application web, puis sélectionnez Modifier.

    La page Paramètres de l'application Web SharePoint s'ouvre.

  9. Dans URL de l'application Web, remplacez l'URL par la valeur S-HTTP de l'application.

  10. Dans URL du site Administration centrale, remplacez l'URL par la valeur S-HTTP du site web Administration centrale.

  11. (Facultatif) Dans Nom convivial, modifiez la valeur pour refléter l'adresse HTTPS de cette application.

  12. Cliquez sur OK.

  13. Répétez les cinq étapes précédentes pour chaque application Web SharePoint dans votre déploiement.

  14. Si votre déploiement utilise Reporting Services, choisissez Création de rapports dans la console d'administration. Sinon, ignorez le reste de cette procédure.

  15. Dans Rapports, choisissez Modifier.

    Si la boîte de dialogue Déconnecter s'ouvre, choisissez OK.

    La fenêtre Création de rapports s'ouvre.

  16. Sélectionnez l'onglet Rapports. Dans URL du serveur de rapports, saisissez les URL HTTPS pour Service Web et Gestionnaire de rapports, puis choisissez OK.

Testez l'accès à votre déploiement

Vous devez vérifier si vos modifications fonctionnent comme prévu. Cette étape est facultative, mais elle est fortement recommandée.

Pour tester l'accès à votre déploiement

  1. Sur un ordinateur qui n'héberge pas la couche Application, ouvrez un navigateur web et accédez à la page d'accueil de l'équipe.

  2. Vérifiez si vous pouvez accéder aux équipes et aux projets à partir de Team Web Access, y compris les pages d'administration.

  3. Si vous ne pouvez pas accéder à votre déploiement via Team Web Access, vérifiez les étapes que vous venez d'effectuer et assurez-vous que les modifications de configuration ont été faites correctement.

Configuration de votre déploiement pour exiger le protocole S-HTTP avec SSL (facultatif)

Vous pouvez exiger que toutes les connexions vers la couche Application TFS utilisent S-HTTP avec SSL. Cette sécurité supplémentaire est facultative, mais elle est recommandée.

Pour exiger des connexions SSL

  1. Sur le serveur qui héberge le site web que vous souhaitez configurer, choisissez Démarrer, Outils d'administration, Gestionnaire des services Internet (IIS).

  2. Suivez les étapes correspondant à votre version d'IIS :

    Pour les déploiements qui utilisent IIS 7.0 :

    1. Développez NomOrdinateur, puis Sites Web et sélectionnez le site web à configurer.

    2. Sur la page d'accueil de ce site web, choisissez Paramètres SSL.

    3. Dans le volet Paramètres SSL, cochez la case Exiger SSL.

      (Facultatif) Cochez la case Exiger SSL 128 bits.

    4. Dans Certificats clients, choisissez Ignorer, Accepter ou Exiger, en fonction des exigences de sécurité de votre déploiement.

    5. Dans Actions, choisissez Appliquer.

    6. Répétez ces étapes pour chaque site web pour lequel vous souhaitez exiger SSL.

Installation du certificat sur les serveurs de builds

Si vous avez installé service Team Foundation Build sur un ou plusieurs serveurs, vous devez installer le certificat dans le magasin d'Autorités de certification de racine de confiance de chaque serveur. Pour plus d'informations, voir les rubriques Obtention d'un certificat et Demander, installer et configurer des sites web avec un certificat plus haut dans cette rubrique. Le contrôleur et l'agent exigent tous deux un certificat comportant une clé privée avec laquelle ils s'identifient dans les connexions S-HTTP.

Notes

Pour exécuter des builds sur SSL, le certificat doit être installé dans le magasin racine approuvé sur le contrôleur de build et l'agent de build.

Mise à jour de configurations de build

Pour configurer Team Foundation Build pour les connexions SSL, vous devez configurer le service de build pour utiliser l'URL S-HTTP que vous avez configurée pour la couche Application et la collection prise en charge par la configuration de build. Vous devez configurer cette URL pour chaque configuration de build de votre déploiement.

Pour modifier une configuration de build pour utiliser S-HTTP

  1. Sur le serveur qui héberge la configuration de build à configurer, ouvrez la console d'administration de Team Foundation.

  2. Sous Team Foundation, développez le nom du serveur, puis sélectionnez Configuration de build.

    Le volet Configuration de build s'affiche.

  3. Sous la configuration du service, sélectionnez Arrêter, puis Propriétés.

    La boîte de dialogue Propriétés du service de build s'ouvre.

  4. Dans Communications, vérifiez que l'URL pour la collection de projets d'équipe utilise l'adresse S-HTTP correcte et le nom de serveur complet.

  5. Dans Point de terminaison du service de build local (entrant), choisissez Modifier.

    La boîte de dialogue Point de terminaison du service de build s'ouvre.

  6. Dans Détails du point de terminaison, vérifiez que le numéro de port correspond aux détails de votre configuration.

  7. Dans Protocole, choisissez HTTPS.

  8. Dans la liste Certificats SSL, choisissez le certificat qui vous avez installé et configuré pour être utilisé avec ce déploiement, puis choisissez OK.

    S'assurer que les détails de configuration correspondent

  9. Dans la boîte de dialogue Propriétés du service de build, choisissez Démarrer.

Release Management et TFS

Vous pouvez déployer Release Management avec HTTPS de manière totalement indépendante de TFS, quel que soit le protocole que vous utilisez pour TFS et même si vous n'utilisez pas TFS. Quelle que soit la façon dont vous décidez de déployer Release Management, les instructions à suivre pour créer un déploiement sécurisé pour Release Management sont très similaires à celles qui sont fournies ici pour TFS. La principale différence réside dans la procédure de liaison du protocole HTTPS au site web Release Management (procédure traitée ci-dessous).

Pour déployer Release Management avec HTTPS, utilisez la liste des tâches ci-dessous. Si vous configurez Release Management avec TFS, ignorez les tâches que vous avez déjà effectuées lors de la configuration TFS.

  1. Obtenez un certificat. Pour plus d'informations, voir Obtention d'un certificat.

  2. Configurez Release Management Server pour utiliser HTTPS. Voir la section Configurer Release Management Server pour utiliser HTTPS ci-après.

  3. Installez le certificat dans le magasin racine approuvé de n'importe quel ordinateur exécutant Release Management Client ou Microsoft Deployment Agent. Pour plus d'informations, voir Configuration d'ordinateurs clients ci-dessous.

  4. Ouvrez les pare-feu. Après avoir installé les certificats, veillez à ouvrir tous les ports que vous avez utilisés pour le trafic SSL. Pour plus d'informations, voir Configurer votre pare-feu.

  5. Lancez les tests. Le site web pour Release Management Server n'est pas configuré pour la navigation. Donc, pour tester sa disponibilité, connectez-vous avec Release Management Client, connectez les agents dans votre environnement, puis créez une version. Pour plus d'informations, voir Définir toutes les connexions Release Management avec HTTPS et Gérer votre version.

Configurer Release Management Server pour utiliser HTTPS

Release Management prend en charge le protocole HTTPS ou HTTP, mais pas les deux à la fois. Utilisez cette procédure pour lier le protocole HTTPS au site web Release Management.

  1. Dans Release Management Server, sélectionnez HTTPS, entrez le numéro de port que vous souhaitez utiliser pour le trafic HTTPS dans Port du service Web, puis sélectionnez Appliquer les paramètres.

    Configurer Release Management Server pour HTTPS

  2. Ouvrez le Gestionnaire des services Internet (IIS).

  3. Développez NomOrdinateur et Sites, ouvrez le sous-menu du site web Release Management, puis sélectionnez Liaisons dans le volet Actions.

  4. Dans Liaisons du site, choisissez Ajouter.

  5. Dans la liste Type, choisissez https.

  6. Dans Port, tapez un numéro de port différent. Il s'agit simplement d'un numéro de port temporaire qui est nécessaire pour terminer la configuration.

    Ajouter un port temporaire

  7. Dans Certificat SSL, choisissez le certificat à utiliser, puis sélectionnez OK et fermez la page de liaisons.

    La liaison HTTP d'origine et la liaison HTTPS que vous venez de créer sont affichées.

  8. Sélectionnez la liaison HTTP d'origine, puis Supprimer.

  9. Sélectionnez la liaison HTTPS, puis Modifier.

  10. Remplacez la valeur temporaire de Port ajoutée à l'étape 6 par le numéro de port utilisé dans Release Management Server à l'étape 1, puis sélectionnez OK et Fermer.

    Modifier le port temporaire

    La liaison de port HTTPS sur le site web Release Management dans IIS correspond au port que vous avez initialement entré dans l'outil de configuration de Release Management Server.

    Le port dans IIS correspond au port sur le serveur

Définir toutes les connexions Release Management avec HTTPS

Une fois les certificats installés sur tous les ordinateurs exécutant Release Management Client et Microsoft Deployment Agent, vous pouvez connecter les ordinateurs à Release Management Server via SSL. Si TFS exécute HTTPS avec SSL, vous devez configurer la connexion TFS pour utiliser HTTPS.

C'est la première fois que vous configurez une connexion TFS ? Dans ce cas, vous devez effectuer quelques étapes supplémentaires et configurer certaines autorisations liées au compte. Pour plus d'informations, voir Connecter Release Management à TFS.

Connecter Release Management Client à Release Management Server avec HTTPS

  1. Lancez Release Management Client.

    Conseil

    Si vous obtenez un message d'erreur indiquant que vous n'avez plus accès au serveur, réinstallez Release Management Client ou utilisez un outil en ligne de commande pour pointer le client vers le serveur avec le nouveau port et le nouveau protocole.Pour plus d'informations, voir ce billet de blog.

  2. Sélectionnez Administration, puis Paramètres.

  3. Dans URL de Release Management Server, sélectionnez Modifier.

  4. Dans la boîte de dialogue Configurer des services, sélectionnez HTTPS, entrez le nom de domaine complet et le port SSL de Release Management Server, puis cliquez sur OK. Vous êtes alors invité à redémarrer l'application.

Connexion au client avec HTTPS/SSL

Connecter Microsoft Deployment Agent à Release Management Server avec HTTPS

  1. Lancez Microsoft Deployment Agent.

  2. Dans Release Management Server, entrez l'URL de Release Management Server, puis sélectionnez Appliquer les paramètres. Pensez à utiliser le protocole HTTPS, le nom de domaine complet du serveur et le port que vous avez configuré dans IIS.

Connexion à l'agent avec HTTPS/SSL

Connecter Release Management Server à TFS avec HTTPS

  1. Lancez Release Management Client.

  2. Sélectionnez Administration, puis Gérer TFS.

  3. Modifiez le protocole de la connexion HTTPS, mettez à jour le port (si nécessaire), puis sélectionnez Vérifier.

Connexion à TFS avec HTTPS/SSL

Configuration d'ordinateurs clients

Sur chaque ordinateur client à partir duquel les utilisateurs accèdent à Team Foundation, vous devez installer le certificat localement et effacer le cache client pour tout utilisateur ayant accédé à Team Foundation depuis cet ordinateur. Sinon, les utilisateurs ne seront pas en mesure de se connecter à Team Foundation depuis cet ordinateur. Pour plus d'informations, voir Gérer des certificats racines approuvés.

Important

Ne suivez pas cette procédure pour les ordinateurs qui exécutent à la fois Team Foundation Server et un ou plusieurs clients de Team Foundation.

Pour installer le certificat sur un ordinateur client

  1. Connectez-vous à l'ordinateur en utilisant un compte appartenant au groupe Administrateurs sur cet ordinateur.

  2. Installez le certificat dans le dossier Autorités de certification racines de confiance pour l'ordinateur local.

Pour effacer le cache sur un ordinateur client

  1. Ouvrez une session sur l'ordinateur à l'aide des informations d'identification de l'utilisateur dont vous souhaitez effacer le cache.

  2. Fermez toutes les instances ouvertes de Visual Studio.

  3. Dans une fenêtre du navigateur, ouvrez le dossier suivant :

    Lecteur**:\Users\NomUtilisateur\AppData\Local\Microsoft\Team Foundation\4.0\Cache**

  4. Supprimez le contenu du répertoire Cache. Assurez-vous de supprimer tous les sous-dossiers.

  5. Sélectionnez Démarrer, Exécuter, tapez devenv /resetuserdata, puis sélectionnez OK.

  6. Répétez ces étapes pour le compte de chaque utilisateur ayant accédé à Team Foundation depuis cet ordinateur.

    Notes

    Vous pouvez communiquer des instructions concernant l'effacement du cache à tous les utilisateurs Team Foundation, afin qu'ils puissent effacer les caches eux-mêmes.

Pour connecter des ordinateurs clients au déploiement reconfiguré

Configuration de Git

Par défaut, les projets qui utilisent Git pour le contrôle de version ne pourront pas valider le certificat SSL que vous avez configuré pour TFS. En effet, contrairement à TFS et Visual Studio, Git ne reconnaît pas le magasin de certificats Windows. Au lieu de cela, il utilise OpenSSL pour le magasin de certificats. Pour utiliser un référentiel Git pour les projets configurés avec SSL, vous devez configurer Git avec le certificat à la racine de la certification pour votre déploiement de TFS 2013. Il s'agit d'une tâche de configuration client qui s'applique uniquement aux projets de référentiel Git.

Pour plus d'informations sur le fonctionnement des opérations réseau de Git dans Visual Studio 2013, voir ce billet de blog.

Conseil

Pour les autres tâches de gestion des informations d'identification Git, telles que l'authentification Windows, pensez à télécharger et à installer le magasin d'informations d'identification Windows pour Git.

Pour configurer le magasin de certificats pour Git

  • Connectez-vous à l'ordinateur en utilisant un compte appartenant au groupe Administrateurs sur cet ordinateur.

  • Vérifiez que le certificat requis a été installé et configuré sur l'ordinateur, conformément à ce qui est indiqué plus haut.

  • Dans le navigateur web pris en charge, extrayez le certificat racine de TFS en tant que fichier X.509 CER/PEM encodé en base 64.

  • Créez une copie privée du magasin de certificat racine Git et ajoutez-le à votre copie privée du magasin.

Pour obtenir la procédure pas à pas complète, avec notamment des captures d'écran, voir le Blog de Philip Kelley.

Voir aussi

Autres ressources

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)

Team Foundation Server, HTTPS, and Secure Sockets Layer (SSL)