Пошаговое руководство по настройке сервера Team Foundation Server с использованием протокола SSL и фильтра ISAPI

Обновлен: Ноябрь 2007

В данном пошаговом руководстве описывается единый процесс запроса, выдачи и присвоения сертификатов, которые применяются для SSL-соединений в Visual Studio Team System Team Foundation Server, для настройки обычной проверки подлинности и/или дайджест-проверки подлинности, а также для настройки фильтра ISAPI. Для поддержки внешних подключений к развертываниям Team Foundation Server необходимо настроить службы IIS, чтобы включить обычную проверку подлинности и/или дайджест-проверку подлинности. Кроме того, необходимо настроить фильтр ISAPI.

Примечание.
Для поддержки протоколов HTTPS и SSL фильтр ISAPI настраивать не нужно. Данное пошаговое руководство содержит рекомендации по настройке всех следующих действий, но также можно настроить свое развертывание Team Foundation Server, используя другие параметры.

При изучении этого пошагового руководства понадобится выполнить следующие действия.

1. Создание запроса на сертификат для веб-узлов Team Foundation.

2. Выдача запроса на сертификат и создание двоичного файла сертификата.

3. Установка и назначение сертификата.

4. Настройка Team Foundation Server для протоколов HTTPS и SSL.

5. Установка сертификата на клиентских компьютерах.

6. Тестирование сертификата.

Примечание.

Процедуры, описанные в данном пошаговом руководстве, не требуют, чтобы клиенты использовали протоколы HTTPS и SSL только при подключении к Team Foundation. Для получения дополнительной информации о том, как настроить, чтобы подключения использовали только протоколы HTTPS и SSL, см. раздел Пошаговое руководство. Настройка сервера Team Foundation Server таким образом, чтобы он требовал использования протоколов HTTPS и SSL.

Обязательные компоненты

Для выполнения данного пошагового руководства потребуется следующее:

• Логические компоненты, которые образуют уровень данных и уровень приложений Team Foundation Team Foundation Server, должны быть установлены и работать. Данное пошаговое руководство ссылается на сервер (серверы), на котором запущены логические компоненты, образующие уровень приложений Team Foundation, как на сервер уровня приложений Team Foundation. Оно также ссылается на сервер (серверы), на котором запущены логические компоненты, образующие уровень данных Team Foundation, как на сервер уровня данных Team Foundation. В зависимости от конфигурации развертывания, сервер уровня приложений Team Foundation и сервер уровня данных Team Foundation могут быть одним физическим сервером или несколькими различными физическими серверами. Дополнительные сведения см. в руководстве по установке Team Foundation. Последнюю версию руководства по установке Team Foundation можно загрузить из Центра загрузки Майкрософт по адресу (https://go.microsoft.com/fwlink/?linkid=79226).

• Центр сертификации должен быть доступен для выдачи сертификатов. Данное пошаговое руководство предполагает, что в качестве центра сертификации используются службы сертификации Microsoft. Если у вас нет центра сертификации, вы можете установить службы сертификации Microsoft и настроить центр сертификации. Дополнительные сведения см. на веб-узле корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkId=70929).

Необходимые разрешения

Для выполнения данной процедуры необходимо быть членом группы "Администраторы" на серверах уровня приложений и уровня данных Team Foundation и членом группы "Администраторы" Team Foundation. Для настройки агента построения для SSL-соединений необходимо быть членом группы "Администраторы" на компьютере построения. Дополнительные сведения о разрешениях см. в разделе Разрешения Team Foundation Server.

Исходные положения

В данном пошаговом руководстве предполагается следующее:

• Сервер уровня данных Team Foundation и сервер уровня приложений Team Foundation установлены и развернуты в безопасной среде и настроены в соответствии с рекомендациями безопасности.

• Администратор, который настраивает сервер Team Foundation, использующий протокол SSL, знаком с инфраструктурой открытого ключа и сертификатами, включая процедуры запроса, выдачи и присвоения сертификатов. Дополнительные сведения об инфраструктуре открытого ключа и сертификатах см. на веб-узле корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkId=70930).

• Администратор знаком с настройкой служб IIS, Microsoft SQL Server и параметрами сети, а также имеет практические знания о топологии сети для среды разработки.

• Настройка поддержки SSL-соединений агентом построения:

  • Team Foundation Build и Сред. Командный обозреватель должны быть установлены и работать.

  • Агенту построения должен быть выдан сертификат.

  • На компьютере построения должны быть установлены средства поддержки Windows. Данные средства необходимы, чтобы связать сертификат с IP-адресом и портом. Для получения дополнительной информации см. раздел "Средства поддержки Windows" (https://go.microsoft.com/fwlink/?LinkId=93827).

Установка служб сертификации Microsoft

В данном пошаговом руководстве службы сертификации Microsoft используются как центр сертификации для выдачи сертификатов. Для удобства в данном пошаговом руководстве предполагается, что службы сертификации установлены на сервере уровня приложений Team Foundation, но также можно выбрать любое программное обеспечение для центра сертификации и конфигурацию развертывания, которые лучше всего подходят для конкретных рабочих целей. По соображениям безопасности при развертывании служб сертификации в рабочей среде следует изолировать корневой центр сертификации. Физическое изолирование сервера центра сертификации в помещении, которое доступно только для администраторов безопасности, значительно снижает риск взлома. Дополнительные сведения о функциях служб сертификации и рекомендациях см. на веб-узле корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkId=70929).

Внимание!
После установки служб сертификации нельзя изменить имя компьютера или домен, в который входит данный компьютер. При изменении имени компьютера или домена сертификат, выданный центром сертификации, становится недействительным.

Установка служб сертификации

1. Нажмите кнопку Пуск, выберите пункт Панель управления, а затем — Установка и удаление программ.

2. Выберите Установка компонентов Windows.

3. В окне Мастер компонентов Windows в списке Компоненты выберите Службы сертификации.

4. Прочитайте текст в окне сообщения и нажмите кнопку Да.

5. Для запуска установки нажмите кнопку Далее.

6. На странице Тип ЦС выберите Автономный корневой ЦС, а затем нажмите кнопку Далее.

7. На странице Сведения о центре сертификации в поле Общее имя для этого ЦС введите имя компьютера.

8. В поле Срок действия измените продолжительность срока действия сертификата на шесть (6) месяцев и нажмите кнопку Далее.

9. На странице Параметры базы данных сертификатов нажмите кнопку Далее, не внося никаких изменений.

   Появится сообщение о необходимости остановки служб IIS.

10. В окне сообщения нажмите кнопку Да.

    Появится страница Настройка компонентов.

11. Если появится окно сообщения с информацией о страницах ASP, нажмите кнопку Да.

12. Нажмите кнопку Готово.

Создание запроса на сертификат для веб-узлов Team Foundation Server

На компьютере сервера уровня приложений необходимо создать запрос на сертификат для Team Foundation с помощью диспетчера служб IIS.

Создание запроса на сертификат для веб-узлов Team Foundation Server

1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Диспетчер служб IIS.

2. Разверните узел имя_компьютера (локальный компьютер), а затем — Веб-узлы.

3. Щелкните правой кнопкой мыши Team Foundation Server и выберите пункт Свойства.

4. В окне Свойства Team Foundation Server откройте вкладку Безопасность каталога.

5. В разделе Безопасные подключения выберите Сертификат сервера.

   Появится Мастер сертификатов веб-сервера. Нажмите кнопку Далее.

6. На странице Сертификат сервера выберите Создать новый сертификат, а затем нажмите кнопку Далее.

7. На странице Отложенный или немедленный запрос нажмите кнопку Далее.

8. На странице Настройка имени и безопасности нажмите кнопку Далее, не внося никаких изменений.

9. На странице Сведения об организации введите значения в полях Организация и Подразделение. Например, можно ввести название своей компании в поле Организация и название своей группы в поле Подразделение. Нажмите кнопку Далее.

10. На странице Полное имя узла нажмите кнопку Далее, не внося никаких изменений.

11. На странице Сведения о местоположении введите соответствующие данные в полях Страна или регион, Область и Город и нажмите кнопку Далее.

12. На странице Имя файла запроса сертификата в разделе Имя файла укажите расположение, куда необходимо сохранить файл запроса на сертификат, и имя файла, а затем нажмите кнопку Далее.

    Примечание.
    Убедитесь, что файл запроса на сертификат сохраняется в сетевую папку или в другое расположение, к которому можно получить доступ с компьютера центра сертификации.

13. Просмотрите сведения на странице Сведения о файле запроса и нажмите кнопку Далее.

14. Нажмите кнопку Готово.

15. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства Team Foundation Server.

Выдача запроса на сертификат и создание двоичного файла сертификата

После создания запроса на сертификат необходимо, чтобы центр сертификации (в данном случае это службы сертификации Microsoft) выдал сертификат по этому запросу. После создания сертификат присваивается соответствующим веб-узлам с помощью служб IIS.

Выдача запроса на сертификат с использованием служб сертификации Microsoft

1. Нажмите кнопку Пуск и выберите пункт Администрирование, а затем — Центр сертификации.

2. В панели проводника щелкните правой кнопкой мыши имя компьютера, выберите пункт Все задачи, а затем выберите команду Выдать новый запрос.

3. В диалоговом окне Открыть файл запроса найдите текстовый файл запроса на сертификат, созданный в ходе предыдущей процедуры, и нажмите кнопку Открыть.

4. В панели проводника раскройте узел с именем компьютера и выберите пункт Запросы в ожидании.

5. Запишите значение поля Код запроса для отложенного запроса.

6. Щелкните правой кнопкой мыши запрос, выберите пункт Все задачи, а затем пункт Выдать.

7. В окне проводника под именем компьютера выберите пункт Выданные сертификаты и просмотрите список сертификатов, чтобы убедиться, что сертификат был выдан и имеет значение кода запроса, соответствующее вашему запросу.

8. В пункте Выданные сертификаты щелкните правой кнопкой мыши по выданному сертификату и выберите последовательно пункт Все задачи и команду Экспортировать двоичные данные.

9. В разделе Столбцы, содержащие двоичные данные выберите пункт Двоичный сертификат. В разделе Параметры экспорта выберите пункт Сохранение двоичных данных в файл и нажмите кнопку ОК.

10. В окне Сохранение двоичных данных сохраните файл на переносное устройство или сетевую папку, к которым можно получить доступ с компьютера сервера уровня приложений Team Foundation.

11. Закройте окно Центр сертификации.

Установка и присвоение сертификата

Прежде чем использовать протокол SSL с Team Foundation, необходимо установить сертификат сервера на веб-узле Team Foundation, а затем настроить поддержку протокола HTTPS для соответствующих веб-узлов Team Foundation. Данные веб-узлы включают:

• Веб-узел по умолчанию

• Центр администрирования SharePoint

• Сервер отчетов

Установка сертификата сервера

Выполните следующие действия, чтобы установить сертификат сервера на Team Foundation.

Установка сертификата сервера на веб-узле Team Foundation Server

1. На сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Диспетчер служб IIS.

2. Разверните узел <имя_компьютера> (локальный компьютер), а затем — Веб-узлы.

3. Щелкните правой кнопкой мыши Team Foundation Server и выберите пункт Свойства.

4. В окне Свойства Team Foundation Server откройте вкладку Безопасность каталога.

5. В разделе Безопасные подключения выберите Сертификат сервера.

   Появится Мастер сертификатов веб-сервера. Нажмите кнопку Далее.

6. На странице Ожидающий запрос сертификата выберите пункт Обработать ожидающий запрос и установить сертификат, а затем нажмите кнопку Далее.

7. На странице Обработка ожидающего запроса нажмите кнопку Обзор.

8. В диалоговом окне Открытие файла в раскрывающемся списке Тип файлов выберите Все файлы (*.*), а затем откройте каталог, куда был сохранен двоичный сертификат в ходе предыдущей процедуры. Выберите двоичный файл сертификата и нажмите кнопку Открыть.

9. На странице Обработка ожидающего запроса нажмите кнопку Далее.

10. На странице Порт SSL примите значение по умолчанию или введите новое значение и нажмите кнопку Далее. В качестве порта по умолчанию для соединений SSL используется порт 443, но необходимо присвоить уникальный номер порта для каждого из трех перечисленных веб-узлов: для веб-узла Team Foundation Server, веб-узла по умолчанию и веб-узла центра администрирования SharePoint.

    Важное примечание.

    Целесообразно использовать номер порта, отличный от заданного по умолчанию, поскольку использование последнего может привести к снижению степени защищенности развернутого экземпляра приложения. Запишите назначенный номер SSL-порта. Прежде чем принимать значение по умолчанию, убедитесь, что данный порт не используется другим сертификатом сервера. Номера портов SSL должны отличаться для каждого устанавливаемого сертификата сервера. Например, если порт по умолчанию 443 еще не используется и вы принимаете номер порта по умолчанию 443 для веб-узла Team Foundation, веб-узлу по умолчанию и веб-узлу центра администрирования SharePoint необходимо присвоить другой номер порта.

11. Просмотрите сведения на странице Сведения о сертификате и нажмите кнопку Далее.

12. Нажмите кнопку Готово.

13. На вкладке Безопасность каталога в разделе Управление доступом и проверка подлинности нажмите кнопку Изменить.

14. В окне Методы проверки подлинности убедитесь, что флажок Анонимный доступ снят. В разделе Доступ с проверкой подлинности установите флажок Встроенная проверка подлинности Windows, а затем — флажок Дайджест-проверка для серверов доменов Windows или Обычная проверка подлинности, или оба флажка одновременно, в зависимости от развертывания. Снимите все остальные флажки и нажмите кнопку ОК. Дополнительные сведения о методах проверки подлинности и Team Foundation Server см. в разделе Team Foundation Server, базовая проверка подлинности и дайджест-проверка подлинности.

    Примечание.
    Если выбран параметр Дайджест-проверка для серверов доменов Windows, может появиться запрос на подтверждение. Прочитайте текст и нажмите кнопку Да.

    Важное примечание.

    Дайджест-проверка подлинности должна быть правильно настроена. В противном случае при попытке получить доступ к Team Foundation Server произойдет ошибка. Не выбирайте дайджест-проверку подлинности, если только ваше развертывание не соответствует всем требованиям для дайджест-проверки подлинности. Дополнительные сведения о дайджест-проверке подлинности см. на веб-узле корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkId=89709).

15. Чтобы закрыть диалоговое окно Свойства Team Foundation Server, нажмите кнопку ОК.

    Примечание.
    Если после нажатия кнопки ОК появится диалоговое окно Изменение наследования, выберите параметр Выбрать все и нажмите кнопку ОК.

Присвоение сертификата веб-узлу по умолчанию

Выполните следующие действия, чтобы настроить поддержку протокола HTTPS на веб-узле по умолчанию в службах IIS.

Примечание.
В зависимости от иерархии сертификатов и инфраструктуры открытого ключа может также потребоваться сконфигурировать службы IIS для проверки подлинности сертификата клиента. Дополнительные сведения см. в разделах Сертификаты (IIS 6.0), Службы сертификации и Сертификаты на веб-узле корпорации Майкрософт.

Настройка протокола HTTPS на веб-узле по умолчанию

1. На сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Диспетчер служб IIS.

2. Разверните узел <имя_компьютера> (локальный компьютер), а затем — Веб-узлы.

3. Щелкните правой кнопкой мыши Веб-узел по умолчанию и выберите пункт Свойства.

4. В окне Свойства веб-узла по умолчанию откройте вкладку Безопасность каталога.

5. В разделе Безопасные подключения выберите Сертификат сервера.

   Появится Мастер сертификатов веб-сервера. Нажмите кнопку Далее.

6. На странице Сертификат сервера выберите пункт Назначение существующего сертификата и нажмите кнопку Далее.

7. На странице Доступные сертификаты выберите сертификат, у которого Понятное имя имеет значение Team Foundation Server. Возможно, чтобы увидеть столбец Понятное имя, понадобится прокрутить список. Нажмите кнопку Далее.

8. На странице Порт SSL примите значение по умолчанию или введите новое значение и нажмите кнопку Далее. В качестве порта по умолчанию для соединений SSL используется порт 443, но необходимо присвоить уникальный номер порта для каждого из трех перечисленных веб-узлов: для веб-узла Team Foundation Server, веб-узла по умолчанию и веб-узла центра администрирования SharePoint.

   Важное примечание.

   Целесообразно использовать номер порта, отличный от заданного по умолчанию, поскольку использование последнего может привести к снижению степени защищенности развернутого экземпляра приложения. Запишите номер SSL-порта. Номера портов SSL должны отличаться для каждого устанавливаемого сертификата сервера. Например, если для веб-узла Team Foundation принимается номер порта по умолчанию 443, необходимо присвоить другой номер порта для веб-узла по умолчанию и веб-узла центра администрирования SharePoint.

9. Просмотрите сведения на странице Сведения о сертификате и нажмите кнопку Далее.

10. Нажмите кнопку Готово. Мастер закроется.

11. На вкладке Безопасность каталога в разделе Управление доступом и проверка подлинности нажмите кнопку Изменить.

12. В окне Методы проверки подлинности убедитесь, что флажок Анонимный доступ снят. В разделе Доступ с проверкой подлинности установите флажок Встроенная проверка подлинности Windows, а затем — флажок Дайджест-проверка для серверов доменов Windows или Обычная проверка подлинности, или оба флажка одновременно, в зависимости от развертывания. Снимите все остальные флажки и нажмите кнопку ОК. Дополнительные сведения о методах проверки подлинности и Team Foundation Server см. в разделе Team Foundation Server, базовая проверка подлинности и дайджест-проверка подлинности.

    Примечание.
    Если выбран параметр Дайджест-проверка для серверов доменов Windows, может появиться запрос на подтверждение. Прочитайте текст и нажмите кнопку Да.

13. Чтобы закрыть диалоговое окно Свойства веб-узла по умолчанию, нажмите кнопку ОК.

    Примечание.
    Если после нажатия кнопки ОК появится диалоговое окно Изменение наследования, выберите параметр Выбрать все и нажмите кнопку ОК.

Присвоение сертификата центру администрирования SharePoint

Выполните следующие действия, чтобы настроить поддержку протокола HTTPS для центра администрирования SharePoint.

Настройка протокола HTTPS для центра администрирования SharePoint

1. На сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Диспетчер служб IIS.

2. Разверните узел <имя_компьютера> (локальный компьютер), а затем — Веб-узлы.

3. Щелкните правой кнопкой мыши Центр администрирования SharePoint и выберите пункт Свойства.

4. В окне Свойства центра администрирования SharePoint откройте вкладку Безопасность каталога.

5. В разделе Безопасные подключения выберите Сертификат сервера.

   Появится Мастер сертификатов веб-сервера. Нажмите кнопку Далее.

6. На странице Сертификат сервера выберите пункт Назначение существующего сертификата и нажмите кнопку Далее.

7. На странице Доступные сертификаты выберите сертификат, у которого Понятное имя имеет значение Team Foundation Server. Возможно, чтобы увидеть столбец Понятное имя, понадобится прокрутить список.

8. Нажмите кнопку Далее.

9. На странице Порт SSL примите значение по умолчанию или введите новое значение и нажмите кнопку Далее. В качестве порта по умолчанию для соединений SSL используется порт 443, но необходимо присвоить уникальный номер порта для каждого из трех перечисленных веб-узлов: для веб-узла Team Foundation Server, веб-узла по умолчанию и веб-узла центра администрирования SharePoint.

   Важное примечание.

   Целесообразно использовать номер порта, отличный от заданного по умолчанию, поскольку использование последнего может привести к снижению степени защищенности развернутого экземпляра приложения. Запишите номер SSL-порта. Номера портов SSL должны отличаться для каждого устанавливаемого сертификата сервера. Например, если для веб-узла Team Foundation принимается номер порта по умолчанию 443, необходимо присвоить другой номер порта для веб-узла по умолчанию и веб-узла центра администрирования SharePoint.

   Примечание.
   Запишите данный номер, так как он понадобится при присвоении сертификата серверу отчетов SQL.

10. Просмотрите сведения на странице Сведения о сертификате и нажмите кнопку Далее.

11. Нажмите кнопку Готово.

Настройка фильтра ISAPI

Необходимо создать файл настройки ISAPI в том же каталоге, где находится файл AuthenticationFilter.dll, который входит в состав Team Foundation SP1. Фильтр ISAPI также необходимо добавить в реестр.

Настройка фильтра ISAPI

1. .На сервере уровня приложений Team Foundation нажмите кнопку Пуск, последовательно выберите пункты Программы, Стандартные, а затем — Блокнот.

2. В программе "Блокнот" создайте следующий файл, где параметр ProxyAddress — это IP-адрес, откуда будет исходить сетевой трафик на сервер Team Foundation (обычно это маршрутизатор), который будет использоваться для протоколов HTTPS и SSL и в ходе обычной проверки подлинности и дайджест-проверки подлинности, а параметр SubnetMask — это пары значений IP-адреса и маски подсети, которые не должны использоваться в ходе дайджест-проверки подлинности или обычной проверки подлинности.

   Важное примечание.
   Если к файлу добавляется ключ ProxyIPList, ключ SubnetList и его значения пропускаются. Дополнительные сведения см. в разделе Team Foundation Server, базовая проверка подлинности и дайджест-проверка подлинности.

   Примечание.
   Можно использовать несколько значений ключей ProxyAddress или SubnetMask. Значения ключей ProxyAddress или SubnetMask должны разделяться точкой с запятой.

   [config]

   RequireSecurePort=false

   ProxyIPList=ProxyAddress;

   SubnetList=SubnetMask;

3. Сохраните этот файл под именем AutenticationFilter.ini в одном каталоге с файлом AuthenticationFilter.dll. Этот каталог располагается по адресу drive:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\Tools.

   Важное примечание.
   Не меняйте каталог для файлов AuthenticationFilter.ini и AutenticationFilter.dll. В этом случае возрастает риск ошибок в ходе обновления с Team Foundation SP1 до Team Foundation SP1.

4. Откройте окно командной строки. Чтобы открыть окно командной строки, нажмите кнопку Пуск, выберите пункт Выполнить, введите строку cmd и нажмите кнопку ОК.

   Примечание.

   Даже если вход в систему выполнен с учетными данными администратора, необходимо открыть окно командной строки с повышенными правами, чтобы выполнить эту функцию на сервере под управлением Windows Server 2008. Чтобы открыть окно командной строки с повышенными правами, нажмите кнопку Пуск, щелкните правой кнопкой мыши пункт Командная строка и выберите команду Запуск от имени администратора. Дополнительные сведения см. на веб-узле корпорации Майкрософт.

5. В командной строке введите следующую команду:

   reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v EventMessageFile /t REG_SZ /d %windir%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll /f

6. В командной строке введите следующую команду:

   reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v TypesSupported /t REG_DWORD /d 7 /f

7. На сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Диспетчер служб IIS.

8. Разверните узел <имя_компьютера> (локальный компьютер), затем — узел Веб-узлы, щелкните правой кнопкой мыши Team Foundation Server и выберите пункт Свойства.

9. В окне Свойства веб-узла по умолчанию откройте вкладку Фильтры ISAPI.

10. В разделе Фильтры ISAPI нажмите кнопку Добавить.

11. В окне Добавление и изменение свойств фильтра в поле Имя фильтра введите TFAuthenticationFilter, в поле Исполняемый файл введите drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup\AuthenticationFilter.dll** и нажмите кнопку ОК.

Настройка разрешения трафика SSL для брандмауэра

Необходимо настроить брандмауэр таким образом, чтобы он пропускал трафик для SSL-портов, указанных в службах ISS для веб-узла по умолчанию, веб-узла Team Foundation и веб-узла центра администрирования SharePoint.

Примечание.
Процедуры настройки брандмауэра, чтобы он разрешал трафик SSL, зависят от программного и аппаратного обеспечения брандмауэра, используемого в развертывании.

Настройка брандмауэра таким образом, чтобы он разрешал сетевой трафик на порты SSL, используемые сервером Team Foundation Server

• См. документацию для брандмауэра, чтобы определить шаги, необходимые для разрешения сетевого трафика для портов SSL, указанных для веб-узла по умолчанию, веб-узла Team Foundation и веб-узла центра администрирования SharePoint.

Обновление командных проектов для сервера отчетов SQL при помощи программы командной строки TFSConfigWss

Выполните следующие действия для обновления веб-узлов командных проектов для сервера отчетов SQL, чтобы отчеты правильно отображались на узлах портала командных проектов.

Обновление веб-узлов командных проектов для сервера отчетов SQL

1. На сервере уровня приложений для Team Foundation откройте окно командной строки и перейдите в каталог Диск:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.

2. В командной строке введите следующую команду и замените строки:

   • SharePointSite — это новый универсальный код ресурса (URI) для семейства веб-узлов для продуктов и технологий SharePoint (продукты и технологии).

   • Reports — это новый универсальный код ресурса (URI) для служб отчетов SQL Server.

   • ReportServer — это новый универсальный код ресурса (URI) для веб-службы ReportsService.asmx.

     **TfsConfigWss ConfigureReporting /SharepointSitesUri:SharePointSite/ReportsUri:Reports/ReportServerUri:**ReportServer

Обновление данных конфигурации Team Foundation Server

Выполните следующие действия, чтобы обновить данные конфигурации, используя HTTPS-значения URL-адресов веб-узлов Windows SharePoint Services и служб отчетов.

Обновление данных конфигурации для сервера Team Foundation Server

1. На сервере уровня приложений Team Foundation откройте окно командной строки и измените каталоги на Drive:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.

2. В командной строке введите следующую команду и замените строки:

   • BaseServerURL — это новый универсальный код ресурса (URI) для веб-сервера, который находится на сервере уровня приложений Team Foundation.

   • BaseSiteURL — это новый универсальный код ресурса (URI) для веб-узла по умолчанию сервера уровня приложений.

   • SharePointSite — это новый универсальный код ресурса (URI) для семейства веб-узлов продуктов и технологий SharePoint.

   • SharePointAdministration — это новый универсальный код ресурса (URI) для веб-узла центра администрирования SharePoint.

   • Reports — это новый универсальный код ресурса (URI) для служб отчетов SQL Server.

   • ReportServer — это новый универсальный код ресурса (URI) для веб-службы ReportsService.asmx.

     TfsAdminUtil ConfigureConnections /ATUri:BaseServerURL/SharepointUri:BaseSiteURL**/SharepointSitesUri:SharePointSite/SharepointAdminUri:SharePointAdministration/ReportsUri:Reports/ReportServerUri:**ReportServer

   Примечание.
   Если используется именованный экземпляр, необходимо указать именованный экземпляр как часть значений строк Reports и ReportServer. Не удаляйте и не изменяйте имя данного именованного экземпляра.

   Например, если номер SSL-порта веб-узла Team Foundation имеет значение 443, номер SSL-порта веб-узла по умолчанию в службах IIS — значение 1443, номер порта центра администрирования SharePoint — значение 2443, а сервер уровня приложений имеет имя Contoso1, необходимо изменить значения следующим образом:

   **TfsAdminUtil ConfigureConnections /ATUri:**https://Contoso1:443 **/SharepointUri:**https://Contoso1:1443 /SharepointSitesUri:https://Contoso1:1443/Sites/SharepointAdminUri:https://Contoso1:2443 /ReportsUri:https://Contoso1:1443/Reports/ReportServerUri:https://Contoso1:1443/ReportServer

   Примечание.
   Команда ConfigureConnections имеет несколько дополнительных параметров, например, для обновления публичного веб-адреса, который используется в оповещениях по электронной почте. Дополнительные сведения см. в разделе Команда ConfigureConnections.

Установка сертификата на компьютерах построения

Если службы построения установлены на одном или нескольких серверах, необходимо установить сертификат на каждом из этих серверов.

Примечание.
Чтобы выполнять построения с использованием протокола SSL, сертификат должен быть установлен в доверенном корневом хранилище на компьютере построения для учетной записи, под которой запущена служба построения, и на компьютере, на котором запускается построение.

Установка сертификата на компьютерах построения

1. Войдите на компьютер построения с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

   https://CertificateServer:port/services/v1.0/serverstatus.asmx

3. Появится диалоговое окно с сообщением безопасности. В окне Предупреждение системы безопасности нажмите кнопку Просмотреть сертификат.

4. В диалоговом окне Сертификат откройте вкладку Путь сертификации.

5. На вкладке Путь сертификации выберите центр сертификации. Это должен быть верхний узел в иерархии сертификатов, и возле его имени должен отображаться красный значок Х. Это свидетельствует о том, что центр сертификации не является доверенным, поскольку он расположен вне хранилища доверенного корневого центра сертификации. Нажмите кнопку Просмотреть сертификат.

6. В диалоговом окне Сертификат нажмите кнопку Установить сертификат.

   Откроется окно мастера импорта сертификатов. Нажмите кнопку Далее.

7. На странице Хранилище сертификатов выберите пункт Поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор.

8. В поле Выбор хранилища сертификатов выберите параметр Показать физические хранилища. В разделе Выберите хранилище сертификатов разверните узел Доверенные корневые центры сертификации, выберите пункт Локальный компьютер и нажмите кнопку ОК.

9. На странице Хранилище сертификатов нажмите кнопку Далее.

10. На странице Завершение мастера импорта сертификатов нажмите кнопку Готово.

11. Может появиться диалоговое окно Мастер импорта сертификатов с подтверждением успешного импортирования. Если это диалоговое окно появится, нажмите кнопку ОК.

12. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для иерархии сертификатов верхнего узла будет закрыто.

13. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для зависимого сертификата будет закрыто.

14. В окне Предупреждение системы безопасности нажмите кнопку Нет.

15. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

16. Откроется страница Веб-служба ServerStatus. Это подтверждает, что вы правильно установили сертификат и центр сертификации. Закройте веб-обозреватель.

Настройка поддержки SSL-соединений агентом построения

Чтобы настроить поддержку SSL-соединений агентом построения, необходимо настроить сертификат HTTPS для каждой комбинации IP-адреса и порта. Если все агенты построения совместно используют один и тот же порт на компьютере построения, необходимо настроить только один сертификат. Если несколько агентов построения используются на нескольких портах, необходимо настроить сертификат для каждого порта.

Агент построения настраивается таким образом, чтобы он требовал использования протокола SSL. Для этого необходимо выполнить следующие действия:

1. Создать и настроить агент построения, чтобы он требовал использования протокола HTTPS.

2. Остановить службу Team Foundation Build Visual Studio.

3. Измените конфигурацию службы построения таким образом, чтобы она требовала использования протокола HTTPS.

4. Свяжите сертификат с IP-адресом и портом.

5. Настроить для агента построения порт и протокол.

6. Перезапустить службу Team Foundation Build Visual Studio.

7. Проверить конфигурацию SSL.

Настройка агента построения таким образом, чтобы он требовал использования протокола HTTPS

1. Откройте диалоговое окно Управление агентами построения и установите флажок Требовать безопасный канал (HTTPS).

   Дополнительные сведения см. в разделе Создание и управление агентами построения.

2. Нажмите кнопку Изменить.

   Появляется диалоговое окно Свойства агента построения.

3. В списке Состояние агента выберите параметр Отключен.

Остановка службы Visual Studio Team Foundation Build

1. Войдите на компьютер построения с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. На компьютере построения нажмите кнопку Пуск, последовательно выберите пункты Панель управления, Администрирование, а затем — Службы.

3. В области Службы (локальные) щелкните правой кнопкой мыши строку Visual Studio Team Foundation Build и выберите пункт Свойства.

   Откроется диалоговое окно Свойства Visual Studio Team Foundation Build (локальный компьютер).

4. В области Состояние службы нажмите кнопку Стоп.

Изменение конфигурации службы построения, чтобы она требовала использования протокола HTTPS

1. Войдите на компьютер построения с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. Откройте папку Диск:\Program Files\Microsoft Visual Studio 2008\Common7\IDE\PrivateAssemblies, щелкните правой кнопкой мыши файл TfsBuildservice.config.exe и выберите команду Открыть.

   Файл откроется в XML-редакторе Visual Studio.

3. В разделе <appSettings> измените значение раздела RequireSecureChannel на "true". Например, измените определение раздела на следующую строку:

   <add key="RequireSecureChannel" value="true" />
   

4. Сохраните изменения и закройте файл.

Связывание SSL-сертификата с IP-адресом и номером порта

1. Войдите на компьютер построения с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. С помощью оснастки диспетчера сертификатов найдите сертификат X.509, который используется для проверки подлинности клиента.

   Дополнительные сведения см. в разделе "Практическое руководство. Получение отпечатка сертификата" (https://go.microsoft.com/fwlink/?LinkId=93828).

3. Скопируйте отпечаток сертификата в текстовый редактор, например, "Блокнот".

4. Удалите все пробелы между шестнадцатеричными символами.

   Эту задачу можно выполнить с помощью функции поиска и замены текстового редактора, чтобы заменить каждый пробел символом null.

5. На компьютере построения нажмите кнопку Пуск, последовательно выберите пункты Все программы, Средства поддержки Windows, а затем — Командная строка.

6. Запустите инструмент HttpCfg.exe в режиме "Установлено" в хранилище SSL, чтобы связать сертификат с номером порта. Данный инструмент использует отпечаток для определения сертификата, как показано в следующем примере:

   httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces
   

   Параметр /i имеет синтаксис IPAddress:Port и указывает инструменту, что для сертификата нужно задать порт 9191 на компьютере построения. Для упрощения IP-адрес 0.0.0.0 резервирует все адреса компьютеров. Если необходима дополнительная точность, укажите точный IP-адрес компьютера, на котором опубликована служба агента. Параметр /h задает отпечаток сертификата.

   Если сертификат клиента должен согласовываться, добавьте параметр /f 2, как показано в следующем примере:

   httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces /f 2
   

   Дополнительные сведения о синтаксисе команды HttpCfg.exe см. в разделе "Практическое руководство. Настройка порта с сертификатом SSL" (https://go.microsoft.com/fwlink/?LinkId=93829).

Настройка порта и протокола агента построения

1. В командной строке выполните команду wcfhttpconfigfreePortNumber. Инструкция команды должна выглядеть примерно так:

   wcfhttpconfig free OldPortForHttp
   

   Дополнительные сведения см. в разделе wcfhttpconfig (Team Foundation Build).

2. В командной строке выполните команду wcfhttpconfigreserveUserAccountURL. Инструкция команды должна выглядеть приблизительно так:

   wcfhttpconfig reserve Domain\Account https://+Computer:NewPortForHttps/Build/v2.0/AgentService.asmx
   

3. Добавьте порт в список исключений брандмауэра Windows.

Перезапуск службы Visual Studio Team Foundation Build

1. Войдите на компьютер построения с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. На компьютере построения нажмите кнопку Пуск, последовательно выберите пункты Панель управления, Администрирование, а затем — Службы.

3. В области Службы (локальные) щелкните правой кнопкой мыши строку Visual Studio Team Foundation Build и выберите пункт Свойства.

   Откроется диалоговое окно Свойства Visual Studio Team Foundation Build (локальный компьютер).

4. В области Состояние службы нажмите кнопку Пуск.

Проверка конфигурации SSL

1. Откройте диалоговое окно Управление агентами построения.

   Дополнительные сведения см. в разделе Создание и управление агентами построения.

2. Нажмите кнопку Изменить.

   Появляется диалоговое окно Свойства агента построения.

3. В списке Состояние агента выберите параметр Включен.

4. Убедитесь, что подключение работает, запустив построение с помощью агента построения.

   Дополнительные сведения см. в разделе Практическое руководство. Постановка в очередь или запуск определения построения.

Установка сертификата на компьютерах прокси-сервера Team Foundation Server

Если вы установили прокси-сервер Team Foundation на одном или нескольких компьютерах, необходимо установить сертификат на каждом из этих компьютеров.

Примечание.
В дополнение к процедуре, описанной ниже, для компьютера с прокси-сервером необходимо настроить все брандмауэры, чтобы они разрешали трафик для SSL-портов, указанных для Team Foundation Server. Таким образом, процедуры настройки брандмауэра будут отличаться в зависимости от программного и аппаратного обеспечения брандмауэра, используемого в развертывании.

Установка сертификата на компьютерах прокси-сервера Team Foundation Server

1. Войдите на прокси-сервер Team Foundation с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

   https://CertificateServer:port/services/v1.0/serverstatus.asmx

3. Появится диалоговое окно с сообщением безопасности. В окне Предупреждение системы безопасности нажмите кнопку Просмотреть сертификат.

4. В диалоговом окне Сертификат откройте вкладку Путь сертификации.

5. На вкладке Путь сертификации выберите центр сертификации. Это должен быть верхний узел в иерархии сертификатов, и возле его имени должен отображаться красный значок Х. Это свидетельствует о том, что центр сертификации не является доверенным, поскольку он расположен вне хранилища доверенного корневого центра сертификации. Нажмите кнопку Просмотреть сертификат.

6. В диалоговом окне Сертификат нажмите кнопку Установить сертификат.

   Откроется окно мастера импорта сертификатов. Нажмите кнопку Далее.

7. На странице Хранилище сертификатов выберите пункт Поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор.

8. В поле Выбор хранилища сертификатов выберите параметр Показать физические хранилища. В разделе Выберите хранилище сертификатов разверните узел Доверенные корневые центры сертификации, выберите пункт Локальный компьютер и нажмите кнопку ОК.

9. На странице Хранилище сертификатов нажмите кнопку Далее.

10. На странице Завершение мастера импорта сертификатов нажмите кнопку Готово.

11. Может появиться диалоговое окно Мастер импорта сертификатов с подтверждением успешного импортирования. Если данное диалоговое окно появится, нажмите кнопку ОК.

12. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для иерархии сертификатов верхнего узла будет закрыто.

13. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для зависимого сертификата будет закрыто.

14. В окне Предупреждение системы безопасности нажмите кнопку Нет.

15. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

16. Откроется страница Веб-служба ServerStatus. Это подтверждает, что вы правильно установили сертификат и центр сертификации. Закройте веб-обозреватель.

Установка сертификата на клиентских компьютерах

Каждый клиентский компьютер с доступом к Team Foundation должен иметь локально установленный сертификат. Кроме того, если клиентский компьютер ранее входил в командный проект Team Foundation, необходимо очистить кэш клиентского компьютера для каждого пользователя, который использует компьютер для подключения к Team Foundation, прежде чем пользователь сможет подключиться к Team Foundation.

Важное примечание.
Не выполняйте эту процедуру для клиентов Team Foundation, установленных на сервере, на котором выполняется Team Foundation Server.

Установка сертификата на клиентских компьютерах Team Foundation

1. Войдите на клиентский компьютер Team Foundation с учетной записью, входящей в группу Администраторы на этом компьютере.

2. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

   https://CertificateServer:port/services/v1.0/serverstatus.asmx

3. Появится диалоговое окно с сообщением безопасности. В окне Предупреждение системы безопасности нажмите кнопку Просмотреть сертификат.

4. В диалоговом окне Сертификат откройте вкладку Путь сертификации.

5. На вкладке Путь сертификации выберите центр сертификации. Это должен быть верхний узел в иерархии сертификатов, и возле его имени должен отображаться красный значок Х. Это свидетельствует о том, что центр сертификации не является доверенным, поскольку он расположен вне хранилища доверенного корневого центра сертификации. Нажмите кнопку Просмотреть сертификат.

6. В диалоговом окне Сертификат нажмите кнопку Установить сертификат.

   Откроется окно мастера импорта сертификатов. Нажмите кнопку Далее.

7. На странице Хранилище сертификатов выберите пункт Поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор.

8. В поле Выбор хранилища сертификатов выберите параметр Показать физические хранилища. В разделе Выберите хранилище сертификатов разверните узел Доверенные корневые центры сертификации, выберите пункт Локальный компьютер и нажмите кнопку ОК.

9. На странице Хранилище сертификатов нажмите кнопку Далее.

10. На странице Завершение мастера импорта сертификатов нажмите кнопку Готово.

11. Может появиться диалоговое окно Мастер импорта сертификатов с подтверждением успешного импортирования. Если это диалоговое окно появится, нажмите кнопку ОК.

12. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для иерархии сертификатов верхнего узла будет закрыто.

13. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для зависимого сертификата будет закрыто.

14. В окне Предупреждение системы безопасности нажмите кнопку Нет.

15. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

16. Откроется страница Веб-служба ServerStatus. Это подтверждает, что вы правильно установили сертификат и центр сертификации. Закройте веб-обозреватель.

Очистка кэша на клиентских компьютерах Team Foundation

1. Войдите на клиентский компьютер Team Foundation с использованием учетных данных пользователя, для которого необходимо выполнить обновление.

2. На клиентском компьютере Team Foundation закройте все открытые экземпляры Visual Studio.

3. Откройте веб-обозреватель и откройте следующую папку:

   диск**:\Documents and Settings\имя_пользователя\Local Settings\Application Data\Microsoft\Team Foundation\2.0\Cache**

4. Удалите содержимое каталога кэша. Убедитесь, что удалены все вложенные папки.

5. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду devenv /resetuserdata и нажмите кнопку ОК.

6. Повторите эти шаги для каждой учетной записи пользователя на компьютере с доступом к Team Foundation.

   Примечание.
   Можно разослать инструкции по очистке кэша для всех пользователей Team Foundation, чтобы они могли выполнять очистку кэша самостоятельно.

См. также

Основные понятия

Team Foundation Server, HTTPS и SSL

Другие ресурсы

Пошаговые руководства по администрированию Team Foundation

Защита Team Foundation Server при помощи HTTPS и SSL