Udostępnij za pośrednictwem

Skonfiguruj połączenia HTTPS z protokołem SSL (Secure Sockets Layer) dla programu Team Foundation Server

  • Artykuł

Możesz zwiększyć zabezpieczeń wdrażania Visual Studio Team Foundation Server (TFS) przez skonfigurowanie go do użycia z SSL Secure Sockets Layer () Hypertext Transfer Protocol bezpiecznego (HTTPS).Można wybrać jedną wymagać tego protokołu, który maksymalizuje bezpieczeństwo rozmieszczania, lub użytkownik może obsługiwać HTTPS za pośrednictwem protokołu SSL oprócz domyślny protokół HTTP.Korzystając z rozwiązania Release Management for Visual Studio 2013, można również skonfigurować który użycie protokołu HTTPS za pośrednictwem protokołu SSL, mimo że nie można skonfigurować go do obsługi HTTP i HTTPS za pośrednictwem protokołu SSL.

Przed wybraniem konfiguracji warto zapoznać się z zaletami i wadami opisanymi poniżej.Po stwierdzeniu, która konfiguracja najlepiej spełni wymagania organizacji pod względem zabezpieczeń, można skonfigurować wdrożenie według procedury zamieszczonej w tym temacie.

W tym temacie:

  • Informacje koncepcyjne

    • Zalety obsługi protokołu HTTPS z SSL dodatkowo do protokołu HTTP

    • Zalety wymagania protokołu HTTPS z SSL dla wszystkich połączeń

    • Wady obsługi lub wymagania protokołu HTTPS z SSL

    • Wstępnie wymagane składniki

    • Założenia

  • Konfiguracja serwera

    • Uzyskiwanie certyfikatu

    • Żądanie i instalowanie certyfikatu oraz konfigurowanie witryn internetowych do korzystania certyfikatu

    • Konfigurowanie zapory

    • Konfigurowanie programu SQL Server Reporting Services

    • Konfigurowanie HTTPS dla TFS

  • Opcjonalne zadania konfiguracyjne

    • Testowanie dostępu do wdrożenia (opcjonalnie)

    • Konfigurowanie wdrożenia do wymagania protokołu HTTPS z SSL (opcjonalnie)

  • Konfiguracja kompilacji

    • Instalowanie certyfikatu na serwerach kompilacji

    • Aktualizowanie konfiguracji kompilacji

  • Konfiguracja zarządzania zlecenia

    • Zarządzanie wersjami i TFS

    • Skonfiguruj serwer użycie protokołu HTTPS

    • Wszystkich połączeń zarządzania wersjami z HTTPS

  • Konfiguracja klienta

    1. Konfigurowanie komputerów klienckich

    2. Konfiguracja repozytorium Git

      1. Konfigurowanie obsługi certyfikatów w systemie Git

Zalety obsługi protokołu HTTPS z SSL dodatkowo do protokołu HTTP

Jeśli we wdrożeniu programu TFS zostanie skonfigurowana obsługa obu protokołów, użytkownicy, których komputery skonfigurowano dla protokołu HTTPS z SSL, będą się łączyły przy użyciu tego protokołu. Zwiększy to bezpieczeństwo wdrożenia.Ponadto użytkownicy, których komputery obsługują tylko protokół HTTP, wciąż mogą się łączyć z wdrożeniem.Mimo iż wyłącznie protokołu HTTP nie należy stosować w sieciach publicznych, kontynuowanie obsługi połączeń HTTP w kontrolowanym środowisku sieciowym pozwala uzyskać następujące zalety:

  • Stopniowe zwiększanie bezpieczeństwa wdrożenia, ponieważ obsługę protokołu HTTPS z SSL na komputerach klienckich można konfigurować w miarę dysponowania wolnym czasem.Stosując podejście etapowe, nie trzeba uaktualniać wszystkich komputerów równocześnie, a użytkownicy, których komputery nie został jeszcze uaktualnione, wciąż mogą się łączyć z wdrożeniem.

  • Łatwiejsze konfigurowanie i bieżąca konserwacja programu Team Foundation Server.

  • Wywołania między usługami internetowymi są realizowane szybciej za pomocą protokołu HTTP HTTPS z SSL.W związku z tym można wciąż używać połączeń HTTP z komputerów klienckich, na których szybkość działania jest ważniejsza niż ewentualne zagrożenia dla bezpieczeństwa.

Zalety wymagania protokołu HTTPS z SSL dla wszystkich połączeń

Jeśli protokół HTTPS z SSL będzie wymagany dla wszystkich połączeń, przynosi to następujące korzyści:

  • Wszystkie połączenia internetowe między warstwami aplikacji, danych i klientów w programie Team Foundation są bezpieczniejsze, ponieważ wymagają certyfikatów.

  • Łatwiej kontrolować dostęp, ponieważ można skonfigurować wygasanie certyfikatów z chwilą oczekiwanego zakończenia faz projektu.

Wady obsługi lub wymagania protokołu HTTPS z SSL

Zanim w programie TFS zostanie skonfigurowana obsługa lub wymuszanie protokołu HTTPS z SSL, należy rozważyć następujące wady:

  • Wzrost stopnia komplikacji bieżących zadań administracyjnych.Na przykład przed zastosowaniem dodatków Service Pack lub innych aktualizacji może się okazać konieczna zmiana konfiguracji wdrożenia polegająca na wyłączeniu obsługi protokołu HTTPS z SSL.

  • Należy nie tylko skonfigurować urząd certyfikacji (CA) i zaufania certyfikatów, ale również zarządzać tymi obiektami.O ile można korzystać z usług certyfikatów w programach Windows Server 2003 i Windows Server 2008, często trudno znaleźć czas i zasoby niezbędne do wdrożenia bezpiecznej infrastruktury kluczy publicznych (PKI).

  • Trzeba poświęcić dużo czasu na konfigurowania i testowania każdej z tych konfiguracji, a rozwiązywanie problemów z wdrożeniem będzie trudniejsze.

  • Jeśli będą obsługiwane oba protokoły, nieodpowiednie zabezpieczenie warstwy aplikacji programu Team Foundation grozi brakiem szyfrowania połączeń zewnętrznych.

  • Wymaganie protokołu HTTPS z SSL powoduje spowolnienie działania wdrożenia.

Konfigurowanie wdrożenia do obsługi lub wymagania protokołu HTTPS z SSL

Procedury zawarte w tym temacie opisują jeden proces do żądania, wydawania i przypisywanie certyfikatów wymaganych dla połączeń przez protokół SSL w programie TFS.Jeśli używane oprogramowania różni się od opisanego w temacie, może być konieczne wykonanie innych czynności.Aby zapewnić obsługę połączeń zewnętrznych z wdrożeniem programu TFS, w Internetowych usługach informacyjnych (IIS) należy również włączyć uwierzytelnianie podstawowe i/lub uwierzytelnianie szyfrowane.

Wykonanie procedur opisanych w tym temacie pozwoli wykonać następujące zadania:

  1. Uzyskanie certyfikatów dla wdrożenia programu Team Foundation Server oraz używanych przez nie witryn internetowych.

  2. Zainstalowanie i przypisanie certyfikatów.

  3. Skonfigurowanie programu Team Foundation Server.

  4. Skonfigurowanie programu Team Foundation Build.

  5. Skonfiguruj Release Management for Visual Studio 2013

  6. Skonfigurowanie komputerów klienckich.

Wstępnie wymagane składniki

Aby można było wykonać procedury opisane w tym temacie, najpierw należy spełnić następujące wymagania:

  • Logiczne składniki w warstwach danych i aplikacji programu Team Foundation muszą być zainstalowane, chociaż w przypadku samego programu TFS niekoniecznie skonfigurowane.Te warstwy obejmują usług IIS, SQL Serveri dodatkowe składniki, być może jest zintegrowany, takich jak Produkty SharePoint, Team Foundation Build, zarządzania wersjami i SQL Server usług Reporting Services.

    Procedury opisane w tym temacie odnoszą się do serwera lub serwerów, na których działają logiczne składniki w warstwie aplikacji dla programu Team Foundation, oraz warstwy danych dla programu Team Foundation.Warstwy aplikacji i danych mogą działać na tym samym serwerze lub wielu serwerach, tak jak to opisano w temacie Przewodnik instalacji serwera Team Foundation Server.

  • Musi mieć urząd certyfikacji (CA), z której mogą wystawiać certyfikaty, lub subskrybowanego urzędu certyfikacji innych firm z zaufanego łańcucha.W tym temacie założono, że używasz usług certyfikatów urzędu certyfikacji, ale można użyć dowolnego urzędu certyfikacji, który został skonfigurowany dla wdrożenia lub certyfikatów od urzędu certyfikacji innych firm zaufane.W razie braku urzędu certyfikacji można zainstalować usługi certyfikatów i je skonfigurować.Więcej informacji można znaleźć w następujących zestawach dokumentacji w witrynie firmy Microsoft:

Wymagane uprawnienia

Aby skonfigurować wszystkie składniki wdrożenia pod kątem obsługi protokołu SSL z HTTPS, trzeba być administratorem.Jeśli wdrożenie ma charakter rozproszony, gdzie różne osoby mają uprawnienia administracyjne do poszczególnych składników takich jak SharePoint, należy skoordynować konfigurację z tymi osobami.

W szczególności trzeba należeć do grupy Administratorzy Team Foundation oraz do grupy Administratorzy na serwerach warstw aplikacji i danych oraz na serwerze lub serwerach proxy programu TFS używanych przez program Team Foundation.Aby skonfigurować serwer kompilacji, trzeba na nim należeć do grupy Administratorzy.Aby skonfigurować zarządzania wersjami, użytkownik musi należeć do Administratorzy grupy na serwerze, który jest hostem Release Management Server i należeć do menedżera zlecenia roli w zarządzania wersjami.Jeśli wdrożenie zawiera składnik Produkty SharePoint, trzeba należeć do grupy Administratorzy na serwerze, na którym jest hostowana witryna Administracja centralna programu SharePoint.Należy także być członkiem grupy Administratorzy farmy.Jeśli wdrożenie zawiera funkcje raportowania, trzeba być członkiem grupy zabezpieczeń administracyjnych albo posiadać równoważne indywidualnie ustawione uprawnienia do konfigurowania usług sprawozdawczości.Aby uzyskać więcej informacji o uprawnieniach, zobacz Uprawnienia serwera programu Team Foundation Server.

Założenia

Procedury opisane w tym temacie zakładają, że są spełnione następujące warunki:

  • Warstwa danych oraz serwer lub serwery warstwy aplikacji zostały zainstalowane i wdrożone w bezpiecznym środowisku oraz skonfigurowany zgodnie z najlepszymi praktykami w zakresie zabezpieczeń.

  • Zainstalowano Release Management for Visual Studio 2013.

  • Administrator wie, jak konfigurować klucze PKI i nimi zarządzać oraz jak żądać certyfikatów, wystawiać je i przypisywać.

  • Administrator ma praktyczną wiedzę na temat topologii sieci środowiska programistycznego oraz potrafi konfigurować ustawienia sieci, usługi IIS i program SQL Server.

Uzyskiwanie certyfikatu

Zanim w programie TFS zostanie skonfigurowane używanie protokołu HTTPS z SSL, należy uzyskać i zainstalować certyfikat serwera dla serwerów we wdrożeniu.Aby uzyskać certyfikat serwera, należy zainstalować i skonfigurować urzędu certyfikacji lub urzędu certyfikacji z zewnętrznej organizacji należy używać tego zaufanym (certyfikaty zewnętrzny).

Więcej informacji o instalowania urzędu certyfikacji można znaleźć w następujących tematach w witrynie firmy Microsoft:

Żądanie i instalowanie certyfikatu oraz konfigurowanie witryn internetowych do korzystania certyfikatu

Po ustawieniu urzędu certyfikacji należy zażądać certyfikatu przy użyciu Menedżera IIS albo ręcznie zainstalować certyfikat na każdym z następujących serwerów we wdrożeniu:

  • Każdy serwer warstwy aplikacji.

  • Każdy serwer z serwerem proxy programu Team Foundation Server, jeśli takie serwery są skonfigurowane we wdrożeniu.

  • Każdy serwer z oprogramowaniem Team Foundation Build — usługa pełniący rolę kontrolera kompilacji lub agent kompilacji, jeśli takie serwery są skonfigurowane we wdrożeniu.

  • Każdy serwer z programem Release Management Server lub dowolnego servers¹ w środowisku wersji który uruchomiono agenta wdrażania, w przypadku zarządzania wersjami w ramach procesu wdrażania.

  • Each server that is running Produkty SharePoint, if Produkty SharePoint is configured for your deployment.

    [!UWAGA]

    Konfigurowanie często używane HTTPS i certyfikaty w witrynie programu SharePoint wymaga dodatkowych czynności, takie jak Konfigurowanie mapowania dostępu alternatywnego i Konfigurowanie infrastruktury uwierzytelniania.Aby uzyskać więcej informacji zapoznaj się najnowszą dokumentację programu SharePoint dla danej wersji produktu.

  • Serwer z oprogramowaniem Reporting Services, jeśli taki serwer jest skonfigurowany we wdrożeniu.

Ponadto komputery klienckie we wdrożeniu należy zarejestrować w łańcuchu certyfikatów i zażądać dla nich potrzebnego certyfikatu.Jeśli używasz zarządzania wersjami, dotyczy to również żadnych komputerów z systemem program Release Management client, a także wszelkie clients¹ uruchomiony agent wdrażania w wersji środowisk.Jeśli co najmniej w jednym projekcie do kontroli wersji jest używany system Git, użytkownicy w tych projektach również będą musieli skonfigurować system Git na swoich komputerach. Tylko wtedy certyfikat klienta będzie rozpoznawany i używany.Więcej informacji o żądaniu certyfikatu klienta z określonego urzędu certyfikacji można znaleźć w dokumentacji danego urzędu.

¹ klientów i serwerów są wywoływane osobno w tym miejscu, ale jest po prostu Konwencji tego dokumentu.Dowolnego komputera z programem agent wdrażania musi zainstalowany certyfikat.

  1. Otwórz Menedżera internetowych usług informacyjnych (IIS).

  2. Rozwiń węzeł serwera, przejdź do pozycji Certyfikaty serwera, a następnie utwórz i wypełnij żądanie certyfikatu.

    Otwórz Menedżera usług IIS i żądanie certyfikatu

    Utworzenie żądania, a następnie ukończ

    Aby uzyskać więcej informacji, zobacz Konfigurowanie certyfikatów serwera w usługach IIS.

  3. Zaimportuj certyfikat.

  4. Teraz należy skonfigurować każdej witryny sieci Web, która wymaga ten certyfikat z odpowiednie ustawienia, (z wyjątkiem zarządzania wersjami witryny sieci Web, które użytkownik skonfiguruje później).W szczególności należy to zrobić dla każdego z następujących witryn:

    • Domyślna witryna internetowa

    • Team Foundation Server

    • Serwer proxy programu Microsoft Team Foundation Server (jeśli jest we wdrożeniu)

    • Administracja centralna programu SharePoint (jeśli we wdrożeniu jest używany program SharePoint)

    Na każdym serwerze hostującym witrynę internetową, która ma zostać skonfigurowana, otwórz Menedżera internetowych usług informacyjnych (IIS).

  5. Rozwiń węzeł nazwa_komputera, rozwiń węzeł witryn, otwórz menu dla witryny sieci Web, które chcesz skonfigurować (na przykład programu Team Foundation Server), a następnie wybierz powiązania w okienku akcji.

    Należy skonfigurować powiązania dla każdej witryny

  6. W obszarze Powiązania witryny kliknij opcję Dodaj.

    Pojawi się okno dialogowe Dodaj powiązania witryny.

  7. Na liście Typ zaznacz pozycję https.

    W polu Port wpisz inny numer portu.

    Ważna uwagaWażne

    Domyślnym numerem portu dla połączeń przez protokół SSL jest 443, ale należy przypisać unikatowe numery portów dla każdej z następujących witryn: Domyślna witryna internetowa, Team Foundation Server, Serwer proxy programu Microsoft Team Foundation Server (jeśli jest we wdrożeniu) i Administracja centralna programu SharePoint (jeśli we wdrożeniu jest używany program SharePoint).

    Numer portu SSL dla każdej witryny sieci Web, którą można skonfigurować tak, należy do rejestrowania.Musisz określić tych liczb w konsoli administracyjnej dla Team Foundation.

    W obszarze Certyfikat SSL zaznacz zaimportowany certyfikat, kliknij przycisk OK i zamknij stronę Powiązania.

    Upewnij się wybrać unikatowy numer portu

  8. Na stronie głównej konfigurowanej witryny internetowej otwórz widok Funkcje.

  9. W obszarze IIS kliknij opcję Uwierzytelnianie.

  10. Zaznacz metodę uwierzytelniania, którą chcesz skonfigurować, otwórz jej podmenu, a następnie włącz, wyłącz lub bardziej szczegółowo skonfiguruj metodę, zgodnie z konkretnymi potrzebami w dziedzinie bezpieczeństwa.Jeśli na przykład chcesz wyłączyć uwierzytelnianie anonimowe, zaznacz metodę Uwierzytelnianie anonimowe, a następnie z menu Akcje wybierz opcję Wyłącz.

    Wybierz metodę, a następnie akcji do wykonania

  11. Po zakończeniu konfigurowania ponownie uruchom usługi internetowe.

Konfigurowanie zapory

Należy skonfigurować zaporę w taki sposób, aby zezwolić na ruch przez porty SSL skonfigurowane w usługach IIS.Więcej informacji można znaleźć w dokumentacji zapory.

Ważna uwagaWażne

Należy koniecznie sprawdzić ruch na wybranych portach przy użyciu innego komputera.Jeśli nie masz dostępu do domyślnej witryny internetowej lub do programu Team Web Access, jeszcze raz sprawdź ustawienia portów dla tych witryn określone w usługach IIS oraz upewnij się, że konfiguracja zapory dopuszcza ruch przez te porty.

Konfigurowanie programu SQL Server Reporting Services

Jeśli wdrożenie zawiera funkcje raportowania, należy w programie SQL Server Reporting Services skonfigurować obsługę protokołu HTTPS z SSL oraz używanie portu ustawionego w usługach IIS dla programu Team Foundation Server.W przeciwnym razie serwer raportów nie będzie działał poprawnie we wdrożeniu.Aby uzyskać więcej informacji, zobacz Konfigurowanie serwera raportów dla połączeń SSL (Secure Sockets Layer).

PoradaPorada

Jeśli wdrożenie nie zawiera funkcji sprawozdawczości, można pominąć tę procedurę.

Konfigurowanie HTTPS dla TFS

Wykonaj następujące kroki, aby skonfigurować wdrożenia TFS porty HTTPS i wartości, które są skonfigurowane w usługach IIS dla domyślnej i Team Foundation Server witryn sieci Web.

Aby zmienić konfigurację programu Team Foundation Server pod kątem używania lub wymagania protokołu HTTPS

  1. Otwórz konsolę administracyjną programu Team Foundation i przejdź do węzła warstwy aplikacji.

  2. W obszarze Podsumowanie warstwy aplikacji kliknij opcję Zmień adresy URL.

    Zostanie otwarte okno Zmień adresy URL.

  3. W obszarze Adres URL powiadomienia wpisz adres URL HTTPS, który został skonfigurowany dla witryny internetowej programu Team Foundation Server w usługach IIS.

    Na przykład witryna może używać portu 444.W takim przypadku wpisania https://nazwa_serwera: 444/tfs.Pamiętaj, aby podać w pełni kwalifikowaną nazwę domeny serwera zamiast nazwy localhost.

    Określ adres HTTPS, serwera i port

  4. Kliknij przycisk Test.Jeśli test nie zakończy się pomyślnie, nie klikaj przycisku OK.Wróć i upewnij się, że wprowadzono poprawny adres URL i dane portu, konfiguracje wszystkich zapór zezwalają na ruch na tych portach, a witryna jest dostępna i działa w Menedżerze usług IIS.

  5. Aby włączyć wymaganie protokołu HTTPS, w obszarze Adres URL serwera zaznacz opcję Użyj, a następnie wpisz adres URL HTTPS, który został skonfigurowany dla witryny internetowej programu Team Foundation Server.

    Pamiętaj, aby podać w pełni kwalifikowaną nazwę domeny serwera zamiast nazwy localhost.

  6. Kliknij przycisk Test, a jeśli test zakończy się pomyślnie, następnie kliknij przycisk OK.

  7. Jeśli wdrożenie zawiera oprogramowanie Produkty SharePoint, w konsoli administracyjnej kliknij pozycję Aplikacje sieci Web programu SharePoint.W przeciwnym razie pomiń sześć następnych kroków.

  8. W oknie Aplikacje sieci Web programu SharePoint na liście Nazwa zaznacz aplikację internetową, a następnie kliknij przycisk Zmień.

    Zostanie otwarta strona Ustawienia aplikacji sieci Web programu SharePoint.

  9. W polu Adres URL aplikacji sieci Web zmień adres URL na wartość z adresu HTTPS aplikacji.

  10. W polu Adres URL witryny administracji centralnej zmień adres URL na wartość z adresu HTTPS witryny internetowej administracji centralnej.

  11. (Opcjonalnie) W polu Przyjazna nazwa zmień wartość na wartość z adresu HTTPS tej aplikacji.

  12. Wybierz przycisk OK.

  13. Powtórz 5 ostatnich 5 dla każdej aplikacji internetowej programu SharePoint istniejącej we wdrożeniu.

  14. Jeśli wdrożenie zawiera oprogramowanie Reporting Services, w konsoli administracyjnej kliknij przycisk Raportowanie.W przeciwnym razie pomiń pozostałą część tej procedury.

  15. W oknie Raportowanie kliknij przycisk Edytuj.

    Jeśli zostanie otwarte okno dialogowe Przełącz do trybu Offline, kliknij przycisk OK.

    Pojawi się okno Raportowanie.

  16. Kliknij kartę Raporty.W polu Adresy URL serwera raportów wpisz adresy URL HTTPS dla obiektów Usługa sieci Web i Menedżer raportów, a następnie kliknij przycisk OK.

Testowanie dostępu do wdrożenia

Należy sprawdzić, czy zmiany działają zgodnie z oczekiwaniami.Ten krok jest opcjonalny, lecz zdecydowanie zalecany.

Aby sprawdzić dostęp do wdrożenia

  1. Na komputerze, na którym nie jest hostowana warstwa aplikacji, otwórz przeglądarkę internetową i przejdź do strony głównej zespołu.

  2. Sprawdź, czy z programu Team Web Access możesz uzyskać dostęp do zespołów i projektów, w tym do stron administracji.

  3. Jeśli nie możesz przejść do wdrożenia z programu Team Web Access, przejrzyj wszystkie wykonane czynności i sprawdź, czy wszystkie zmiany w konfiguracji zostały wykonane poprawnie.

Konfigurowanie wdrożenia do wymagania protokołu HTTPS z SSL (opcjonalnie)

Można ustawić wymóg, aby wszystkie połączenia z warstwą aplikacji programu TFS odbywały się przy użyciu protokołu HTTPS z SSL.To dodatkowe zabezpieczenie jest opcjonalne, ale zalecane.

Aby ustawić wymóg połączeń przez SSL

  1. Na serwerze zawierającym witrynę internetową, którą chcesz skonfigurować, wybierz kolejno opcje Start > Narzędzia administracyjne > Menedżer internetowych usług informacyjnych (IIS).

  2. Wykonaj czynności odpowiednie dla używanej wersji programu IIS:

    Wdrożenia z oprogramowaniem IIS 7.0:

    1. Rozwiń węzeł nazwa_komputera, rozwiń węzeł witryn sieci Web, a następnie wybierz witrynę sieci Web, który ma zostać skonfigurowany.

    2. Na stronie głównej tej witryny kliknij opcję Ustawienia protokołu SSL.

    3. W okienku Ustawienia protokołu SSL zaznacz pole wyboru Wymagaj protokołu SSL.

      (Opcjonalnie) Zaznacz pole wyboru Wymagaj 128-bitowego protokołu SSL.

    4. W obszarze Certyfikaty klienta zaznacz opcję Ignoruj, Akceptuj lub Wymagaj, w zależności od wymaganego stopnia bezpieczeństwa wdrożenia.

    5. W obszarze Akcje kliknij przycisk Zastosuj.

    6. Powtórz te czynności dla każdej witryny internetowej, która ma wymagać protokołu SSL.

Instalowanie certyfikatu na serwerach kompilacji

Jeśli na jednym lub kilku serwerach zainstalowano oprogramowanie Team Foundation Build — usługa, certyfikat należy zainstalować w magazynie zaufanych głównych urzędów certyfikacji na każdym serwerze serwerów.Aby uzyskać więcej informacji, zobacz Otrzymywanie certyfikatu i żądanie, instalowania i konfigurowania witryny sieci Web za pomocą certyfikatu wcześniej w tym temacie.Zarówno kontroler, jak i agent wymagają certyfikatu z kluczem prywatnym, przy użyciu którego będą się identyfikować w połączeniach przez protokół HTTPS.

[!UWAGA]

Aby można było wykonywać kompilacje przez łącza używające protokołu SSL, certyfikat musi być zainstalowany w magazynie zaufanych głównych certyfikatów na kontrolerze kompilacji i agencie kompilacji.

Aktualizowanie konfiguracji kompilacji

Aby skonfigurować obsługę połączeń SSL w programie Team Foundation Build, należy w usłudze kompilacji skonfigurować używanie adresu URL HTTPS ustawionego dla warstwy aplikacji i dla kolekcji obsługiwanej przez konfigurację kompilacji.Adres trzeba podać dla każdej konfiguracji kompilacji we wdrożeniu.

Aby zmienić konfigurację kompilacji w celu użycia protokołu HTTPS

  1. Na serwerze zawierającym konfigurację kompilacji, którą chcesz skonfigurować, otwórz konsolę administracyjną programu Team Foundation.

  2. W obszarze Team Foundation rozwiń węzeł o nazwie serwera i wybierz polecenie Konfiguracja kompilacji.

    Pojawi się okienko Konfiguracja kompilacji.

  3. W obszarze Konfiguracja usługi kliknij kolejno opcje Zatrzymaj > Właściwości.

    Zostanie otwarte okno dialogowe Właściwości usługi kompilacji.

  4. W obszarze Komunikacja upewnij się, że pole adresu URL kolekcji projektów zespołowych zawiera poprawny adres HTTPS i pełną nazwę serwera.

  5. W obszarze Lokalny punkt końcowy usługi kompilacji (przychodzące) kliknij przycisk Zmień.

    Zostanie otwarte okno dialogowe Punkt końcowy usługi kompilacji.

  6. W obszarze Szczegóły punktu końcowego sprawdź, czy numer portu pasuje do parametrów konfiguracji.

  7. W obszarze Protokół zaznacz opcję HTTPS.

  8. Na liście Certyfikaty SSL zaznacz certyfikat, który został zainstalowany i skonfigurowany dla tego wdrożenia, i kliknij przycisk OK.

    Upewnij się, że dopasowania szczegóły konfiguracji

  9. W oknie dialogowym Właściwości usługi kompilacji kliknij przycisk Uruchom.

Zarządzanie wersjami i TFS

Można wdrożyć zarządzania wersjami z całkowicie niezależne od TFS, bez względu na to używasz TFS, protokół HTTPS lub jeśli używasz TFS w ogóle.Jednak użytkownik zdecyduje się wdrożyć zarządzania wersjami, z instrukcjami tworzenia bezpiecznego wdrażania dotycząca zarządzania zleceniami są bardzo podobne do ustawionego w dół tutaj dla TFS.Istotna różnica jest procedury powiązania protokołu HTTPS do zarządzania wersjami witryny sieci Web, która opisanych poniżej.

Aby wdrożyć zarządzania wersjami z HTTPS, użyj poniższej listy zadań.Jeśli z TFS konfiguracji zarządzania wersjami, pominąć wszystkie zadania, które może być ukończenia konfiguracji TFS.

  1. Uzyskanie certyfikatu.Aby uzyskać więcej informacji, zobacz Otrzymywanie certyfikatu.

  2. Skonfiguruj serwer użycie protokołu HTTPS.W następnej sekcji, skonfigurować serwer do użycia protokołu HTTPS.

  3. Zainstalowania certyfikatu w magazynie zaufanych głównych z dowolnego komputera z programem Release Management Client lub Microsoft Deployment Agent.Aby uzyskać więcej informacji, zobacz Konfigurowanie komputerów klienckich poniżej.

  4. Otwórz wszystkie zapory.Po zainstalowaniu certyfikaty, upewnij się, że otwarcia portów, wszelkie używanego ruchu protokołu SSL.Aby uzyskać więcej informacji, zobacz skonfigurować Twój zapory.

  5. Test.Witryny sieci Web dla Release Management Server nie jest skonfigurowany do przeglądania, dzięki czemu do sprawdzenia, czy jest dostępny, należy się z nim połączyć Release Management Client, połączyć agentów w danym środowisku i następnie wybierz wersję.Aby uzyskać więcej informacji, zobacz wszystkich połączeń zarządzania wersjami z HTTPS i Zarządzanie wersjami.

Skonfiguruj serwer użycie protokołu HTTPS

Release Management obsługuje protokół HTTPS lub HTTP, ale nie oba protokoły w tym samym czasie.Użyj tej procedury do powiązania protokołu HTTPS do zarządzania wersjami witryny sieci Web.

  1. Release Management Server, wybierz HTTPS, wprowadź numer portu, aby użyć ruchu HTTPS w sieci Web port usługi, a następnie wybierz zastosowania ustawień.

    Skonfiguruj serwer zarządzania wersji dla HTTPS

  2. Otwórz Menedżera internetowych usług informacyjnych (IIS).

  3. Rozwiń węzeł nazwa_komputera, rozwiń węzeł witryn, otwórz menu zarządzania wersjami witryny sieci Web, a następnie wybierz powiązania w okienku akcji.

  4. W obszarze Powiązania witryny kliknij opcję Dodaj.

  5. Na liście Typ zaznacz pozycję https.

  6. W polu Port wpisz inny numer portu.Jest to numer portu tylko tymczasowe niezbędne do ukończenia konfiguracji.

    Dodawanie tymczasowe portu

  7. W certyfikat SSL, wybierz certyfikat będzie używać, a następnie wybierz OK i zamknij stronę powiązania.

    Możesz zobaczyć oryginalnego wiązania HTTP i utworzonego powiązanie HTTPS.

  8. Zaznacz oryginalny wiązania HTTP i wybierz polecenie usunąć.

  9. Zaznacz powiązanie HTTPS i wybierz polecenie edytować.

  10. Zmień Port od wartości tymczasowej zostało dodane w kroku 6, numer portu używany w Release Management Server w kroku 1, a następnie wybierz OK i Zamknij.

    Zmodyfikuj port tymczasowe

    HTTPS portu powiązania z zarządzania wersji witryny sieci Web w usługach IIS odpowiada port, który pierwotnie wprowadzony w narzędziu konfiguracji Release Management Server.

    Port w dopasowań portu serwera IIS

Wszystkich połączeń zarządzania wersjami z HTTPS

Gdy certyfikaty jest zainstalowana na wszystkich komputerach z systemem Release Management Client i Microsoft Deployment Agent, można nawiązać komputerów serwera zarządzania zlecenia przez protokół SSL.Jeśli TFS działa HTTPS za pośrednictwem protokołu SSL, należy skonfigurować połączenie TFS użycie protokołu HTTPS.

Konfigurowanie połączenia TFS po raz pierwszy?Istnieją pewne dodatkowe kroki i niektóre wymagania uprawnień konta.Aby uzyskać więcej informacji, zobacz połączyć zarządzania wersjami z TFS

Release Management Client nawiązać połączenia z Release Management Server przy użyciu protokołu HTTPS

  1. Uruchom klienta Release Management.

    PoradaPorada

    Jeśli zostanie wyświetlony komunikat o błędzie z informacją, że nie masz już dostępu do serwera, można ponownie zainstalować klienta Release Management lub można użyć narzędzia wiersza polecenia do wskazywania serwera za pomocą nowego portu i Protokół klienta.Aby uzyskać więcej informacji, zobacz wpis w blogu.

  2. Wybierz Administracja, a następnie wybierz ustawienia.

  3. W adres URL serwera zarządzania wersji, wybierz polecenie edytować.

  4. W Konfigurowanie usług okno dialogowe, wybierz HTTPS i wprowadź w pełni kwalifikowaną nazwę domeny i port SSL Release Management Server, a następnie wybierz OK.Zostanie wyświetlony monit o ponowne uruchomienie aplikacji.

Połączenia klienta przy użyciu protokołu HTTPS/SSL

Microsoft Deployment Agent nawiązać połączenia z Release Management Server przy użyciu protokołu HTTPS

  1. Uruchom Microsoft Deployment Agent.

  2. W Release Management Server, wprowadź adres URL dla serwera zarządzania wersji i wybierz opcję zastosowania ustawień.Pamiętaj, aby używać protokołu HTTPS, w pełni kwalifikowaną nazwę domeny dla serwera i port, który można skonfigurować w usługach IIS.

Łączenie agenta przy użyciu protokołu HTTPS/SSL

Release Management Server nawiązać połączenie przy użyciu protokołu HTTPS TFS

  1. Uruchom klienta Release Management.

  2. Wybierz Administracja, a następnie wybierz Zarządzanie TFS.

  3. Zmienić Protokół połączenia HTTPS, zaktualizuj port (w razie potrzeby) i wybierz opcję Sprawdź.

Połączyć się przy użyciu protokołu HTTPS/SSL TFS

Konfigurowanie komputerów klienckich

On every client computer from which users access Team Foundation, you must install the certificate locally and clear the client cache for any user who has accessed Team Foundation from that computer.W przeciwnym razie użytkownicy nie będą w stanie się łączyć z programem Team Foundation z tego komputera.Aby uzyskać więcej informacji, zobacz Zarządzanie zaufanych certyfikatów głównych.

Ważna uwagaWażne

Procedury nie należy wykonywać na komputerach, na których jest zainstalowany program Team Foundation Server oraz jeden lub więcej klientów programu Team Foundation.

Aby zainstalować certyfikat na komputerze klienckim

  1. Zaloguj się na komputerze, używając konta należącego do grupy Administratorzy na tym komputerze.

  2. Zainstaluj certyfikat w folderze Zaufane główne urzędy certyfikacji na tym komputerze.

Aby wyczyścić pamięć podręczną komputera klienckiego

  1. Zaloguj się na komputerze klienckim przy użyciu poświadczeń użytkownika, którego pamięć podręczną chcesz wyczyścić.

  2. Zamknij wszystkie otwarte wystąpienia programu Visual Studio.

  3. W oknie przeglądarki otwórz następujący folder:

    Dysk**:\Users\nazwy użytkownika\AppData\Local\Microsoft\Team Foundation\4.0\Cache**

  4. Usuń zawartość katalogu Pamięć podręczna.Koniecznie usuń wszystkie podfoldery.

  5. Kliknij przycisk Start, wybierz polecenie Uruchom, wpisz devenv /resetuserdata i kliknij przycisk OK.

  6. Powtórz te czynności dla kont wszystkich użytkowników, którzy otwierali program Team Foundation z tego komputera.

    [!UWAGA]

    Warto rozpowszechniać instrukcje czyszczenia pamięci podręcznej do wszystkich użytkowników programu Team Foundation, tak aby wykonali tę operację samodzielnie.

Aby połączyć komputery klienckie z wdrożeniem o zmienionej konfiguracji

Konfigurowanie systemu Git

Domyślnie projekty, w których do kontroli wersji służy system Git, nie weryfikują certyfikatu SSL skonfigurowanego dla programu TFS.Wynika to z faktu, że w przeciwieństwie do programów TFS i Visual Studio, system Git nie rozpoznaje magazynu certyfikatów systemu Windows.Zamiast tego używa magazynu certyfikatów OpenSSL.Chcąc używać repozytorium Git w projektach wykorzystujących protokół SSL, we wdrożeniu programu TFS 2013 w systemie Git należy ustawić certyfikat na najwyższym poziomie łańcucha certyfikacji.Jest to zadanie konfiguracyjne wykonywane na kliencie i dotyczy wyłącznie projektów używających systemu Git.

Aby uzyskać więcej informacji na temat działania operacje sieciowe Git w programie Visual Studio 2013, zobacz wpis w blogu.

PoradaPorada

Dla innych Git poświadczeń zadań zarządzania, takich jak uwierzytelnianie systemu Windows, należy wziąć pod uwagę pobieranie i instalowanie Magazyn poświadczeń systemu Windows dla Git.

Aby skonfigurować magazyn certyfikatów dla systemu Git

  • Zaloguj się na komputerze, używając konta należącego do grupy Administratorzy na tym komputerze.

  • Upewnij się, że na komputerze zainstalowano i skonfigurowano wymagany certyfikat zgodnie z opisem powyżej.

  • W obsługiwanej przeglądarce internetowej wyodrębnij główny certyfikat programu TFS jako plik X.509 CER/PEM o kodowaniu base64.

  • Utwórz prywatną kopię magazynu głównych certyfikatów systemu Git i dodaj ją do swojej prywatnej kopii magazynu certyfikatów.

Pełny przewodnik tej procedury, zrzuty ekranu, w tym temacie blog według Philip Kelley.

Zobacz też

Inne zasoby

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)

Team Foundation Server, HTTPS, and Secure Sockets Layer (SSL)