Пошаговое руководство. Настройка сервера Team Foundation Server таким образом, чтобы он требовал использования протоколов HTTPS и SSL

Обновлен: Ноябрь 2007

В следующем пошаговом руководстве описывается процесс, в результате которого клиентам Team Foundation потребуется использовать протоколы HTTPS и SSL для подключения к Visual Studio Team System 2008 Team Foundation Server. Для поддержки внешних подключений к развертываниям Team Foundation Server необходимо настроить службы IIS, чтобы включить обычную проверку подлинности и/или дайджест-проверку подлинности. Кроме того, необходимо настроить фильтр ISAPI.

При изучении этого пошагового руководства вам предстоит выполнить следующие действия:

1. Создание запроса на сертификат для веб-узлов Team Foundation Server.

2. Выдача запроса на сертификат и создание двоичного файла сертификата.

3. Установка и назначение сертификата.

4. Настройка сервера Team Foundation Server таким образом, чтобы он требовал использования протоколов HTTPS и SSL.

5. Установка сертификата на клиентских компьютерах.

6. Тестирование сертификата.

Обязательные компоненты

Для выполнения данного пошагового руководства потребуется следующее:

• Логические компоненты, которые образуют уровень данных Team Foundation и уровень приложений Team Foundation Server, должны быть установлены и работать. В данном пошаговом руководстве сервер (серверы) с запущенными логическими компонентами, образующими уровень приложений Team Foundation, считается сервером уровня приложений Team Foundation. Сервер (серверы) с запущенными логическими компонентами, образующими уровень данных Team Foundation, считается сервером уровня данных Team Foundation. В зависимости от конфигурации развертывания, сервер уровня приложений Team Foundation и сервер уровня данных Team Foundation могут быть одним физическим сервером или несколькими различными физическими серверами. Дополнительные сведения см. в руководстве по установке Team Foundation. Последнюю версию руководства по установке Team Foundation можно загрузить из Центра загрузки Майкрософт по адресу (https://go.microsoft.com/fwlink/?linkid=79226).

• Центр сертификации должен быть доступен для выдачи сертификатов. Данное пошаговое руководство предполагает, что в качестве центра сертификации используются службы сертификации Microsoft. Если у вас нет центра сертификации, вы можете установить службы сертификации Microsoft и настроить центр сертификации. Дополнительные сведения см. на веб-узле корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkId=70929).

• Чтобы настроить поддержку SSL-соединений агентом построения, необходимо, чтобы выполнялись следующие условия:

  • Team Foundation Build и Сред. Командный обозреватель должны быть установлены и работать.

  • Агенту построения должен быть выдан сертификат.

  • На компьютере построения должны быть установлены средства поддержки Windows. Данные средства необходимы, чтобы связать сертификат с IP-адресом и портом. Для получения дополнительной информации см. раздел "Средства поддержки Windows" (https://go.microsoft.com/fwlink/?LinkId=93827).

Требуемые разрешения

Для выполнения этой процедуры нужно быть членом группы "Администраторы" на серверах уровня приложений и уровня данных Team Foundation и членом группы "Администраторы" Team Foundation. Для настройки агента построения для SSL-соединений необходимо быть членом группы "Администраторы" на компьютере построения. Дополнительные сведения о разрешениях см. в разделе Разрешения Team Foundation Server.

Исходные положения

В данном пошаговом руководстве предполагается следующее:

• Сервер уровня данных Team Foundation и сервер уровня приложений Team Foundation установлены и развернуты в безопасной среде и настроены в соответствии с рекомендациями безопасности.

• Администратор, который настраивает сервер Team Foundation Server, использующий протокол SSL, знаком с инфраструктурой открытого ключа и сертификатами, включая процедуры запроса, выдачи и присвоения сертификатов. Дополнительные сведения об инфраструктуре открытого ключа и сертификатах см. на веб-узле корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkId=70930).

• Администратор знаком с настройкой служб IIS, Microsoft SQL Server и параметрами сети, а также имеет практические знания о топологии сети для среды разработки.

Установка служб сертификации Microsoft

В данном пошаговом руководстве службы сертификации Microsoft используются как центр сертификации для выдачи сертификатов. Для удобства в данном пошаговом руководстве предполагается, что службы сертификации установлены на сервере уровня приложений Team Foundation, но вы можете выбрать любое программное обеспечение для центра сертификации и конфигурацию развертывания, которые лучше всего подходят для ваших рабочих целей. По соображениям безопасности при развертывании служб сертификации в рабочей среде следует изолировать корневой центр сертификации. Физическое изолирование сервера центра сертификации в помещении, которое доступно только для администраторов безопасности, значительно снижает риск взлома. Дополнительные сведения о функциях служб сертификации и рекомендациях см. на веб-узле корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkId=70929).

Внимание!
После установки служб сертификации нельзя изменить имя компьютера или домен, в который входит данный компьютер. При изменении имени компьютера или домена сертификат, выданный центром сертификации, становится недействительным.

Установка служб сертификации

1. Нажмите кнопку Пуск, выберите пункт Панель управления, а затем — Установка и удаление программ.

2. Выберите Установка компонентов Windows.

3. В окне Мастер компонентов Windows в списке Компоненты выберите Службы сертификации.

4. Прочитайте текст в окне сообщения и нажмите кнопку Да.

5. Для запуска установки нажмите кнопку Далее.

6. На странице Тип ЦС выберите Автономный корневой ЦС, а затем нажмите кнопку Далее.

7. На странице Сведения о центре сертификации в поле Общее имя для этого ЦС введите имя компьютера.

8. В поле Срок действия измените продолжительность срока действия сертификата на шесть (6) месяцев и нажмите кнопку Далее.

9. На странице Параметры базы данных сертификатов нажмите кнопку Далее, не внося никаких изменений.

   Появится сообщение о необходимости остановки служб IIS.

10. В окне сообщения нажмите кнопку Да.

    Появится страница Настройка компонентов.

11. Если появится окно сообщения с информацией о страницах ASP, нажмите кнопку Да.

12. Нажмите кнопку Готово.

Создание запроса на сертификат для веб-узлов Team Foundation Server

На компьютере сервера уровня приложений необходимо создать запрос на сертификат для Team Foundation Server с помощью диспетчера служб IIS.

Создание запроса на сертификат для веб-узлов Team Foundation Server

1. Нажмите кнопку Пуск, выберите пункт Администрирование, а затем — Диспетчер служб IIS.

2. Разверните узел имя_компьютера (локальный компьютер), а затем — Веб-узлы.

3. Щелкните правой кнопкой мыши Team Foundation Server и выберите пункт Свойства.

4. В окне Свойства Team Foundation Server откройте вкладку Безопасность каталога.

5. В разделе Безопасные подключения выберите Сертификат сервера.

   Появится Мастер сертификатов веб-сервера. Нажмите кнопку Далее.

6. На странице Сертификат сервера выберите Создать новый сертификат, а затем нажмите кнопку Далее.

7. На странице Отложенный или немедленный запрос нажмите кнопку Далее.

8. На странице Настройка имени и безопасности нажмите кнопку Далее, не внося никаких изменений.

9. На странице Сведения об организации введите значения в полях Организация и Подразделение. Например, можно ввести название своей компании в поле Организация и название своей группы в поле Подразделение. Нажмите кнопку Далее.

10. На странице Полное имя узла нажмите кнопку Далее, не внося никаких изменений.

11. На странице Сведения о местоположении введите соответствующие данные в полях Страна или регион, Область и Город и нажмите кнопку Далее.

12. На странице Имя файла запроса сертификата в разделе Имя файла укажите расположение, куда необходимо сохранить файл запроса на сертификат, и имя файла, а затем нажмите кнопку Далее.

    Примечание.
    Убедитесь, что файл запроса на сертификат сохраняется в сетевую папку или в другое расположение, к которому можно получить доступ с компьютера центра сертификации.

13. Просмотрите сведения на странице Сведения о файле запроса и нажмите кнопку Далее.

14. Нажмите кнопку Готово.

15. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства Team Foundation Server.

Выдача запроса на сертификат и создание двоичного файла сертификата

После создания запроса на сертификат необходимо, чтобы центр сертификации (в данном случае это службы сертификации Microsoft) выдал сертификат по этому запросу. После создания сертификат присваивается соответствующим веб-узлам с помощью служб IIS.

Выдача запроса на сертификат с использованием служб сертификации Microsoft

1. Нажмите кнопку Пуск и выберите пункт Администрирование, а затем — Центр сертификации.

2. В панели проводника щелкните правой кнопкой мыши имя компьютера, выберите пункт Все задачи, а затем выберите команду Выдать новый запрос.

3. В диалоговом окне Открыть файл запроса найдите текстовый файл запроса на сертификат, созданный в ходе предыдущей процедуры, и нажмите кнопку Открыть.

4. В панели проводника раскройте узел с именем компьютера и выберите пункт Запросы в ожидании.

5. Запишите значение поля Код запроса для отложенного запроса.

6. Щелкните правой кнопкой мыши запрос, выберите пункт Все задачи, а затем пункт Выдать.

7. В окне проводника под именем компьютера выберите пункт Выданные сертификаты и просмотрите список сертификатов, чтобы убедиться, что сертификат был выдан и имеет значение кода запроса, соответствующее вашему запросу.

8. В пункте Выданные сертификаты щелкните правой кнопкой мыши по выданному сертификату и выберите последовательно пункт Все задачи и команду Экспортировать двоичные данные.

9. В разделе Столбцы, содержащие двоичные данные выберите пункт Двоичный сертификат. В разделе Параметры экспорта выберите пункт Сохранение двоичных данных в файл и нажмите кнопку ОК.

10. В окне Сохранение двоичных данных сохраните файл на переносное устройство мультимедиа или в сетевую папку, к которым можно получить доступ с компьютера уровня приложений Team Foundation.

11. Закройте окно Центр сертификации.

Установка и присвоение сертификата

Прежде чем использовать протокол SSL с Team Foundation Server, необходимо установить сертификат сервера на веб-узле Team Foundation Server, а затем настроить поддержку протокола HTTPS для соответствующих веб-узлов Team Foundation Server. Данные веб-узлы включают:

• Веб-узел по умолчанию

• Центр администрирования SharePoint

• Сервер отчетов

Установка сертификата сервера

Выполните следующие действия, чтобы установить сертификат сервера на Team Foundation Server.

Установка сертификата сервера на веб-узле Team Foundation Server

1. На сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите Администрирование, а затем — Диспетчер служб IIS.

2. Разверните узел <имя_компьютера> (локальный компьютер), а затем — Веб-узлы.

3. Щелкните правой кнопкой мыши Team Foundation Server и выберите пункт Свойства.

4. В окне Свойства Team Foundation Server откройте вкладку Безопасность каталога.

5. В разделе Безопасные подключения выберите Сертификат сервера.

   Появится Мастер сертификатов веб-сервера. Нажмите кнопку Далее.

6. На странице Ожидающий запрос сертификата выберите пункт Обработать ожидающий запрос и установить сертификат, а затем нажмите кнопку Далее.

7. На странице Обработка ожидающего запроса нажмите кнопку Обзор.

8. В диалоговом окне Открытие файла в раскрывающемся списке Тип файлов выберите Все файлы (*.*), а затем откройте каталог, куда был сохранен двоичный сертификат в ходе предыдущей процедуры. Выберите двоичный файл сертификата и нажмите кнопку Открыть.

9. На странице Обработка ожидающего запроса нажмите кнопку Далее.

10. На странице Порт SSL примите значение по умолчанию или введите новое значение и нажмите кнопку Далее. Порт по умолчанию для соединений SSL – 443, но необходимо присвоить уникальный номер порта для каждого из трех перечисленных веб-узлов: веб-узел Team Foundation Server, веб-узел по умолчанию и веб-узел центра администрирования SharePoint.

    Важное примечание.

    Целесообразно использовать номер порта, отличный от заданного по умолчанию, поскольку использование последнего может привести к снижению степени защищенности развернутого экземпляра приложения. Запишите назначенный номер SSL-порта. Прежде чем принимать значение по умолчанию, убедитесь, что данный порт не используется другим сертификатом сервера. Номера портов SSL должны отличаться для каждого устанавливаемого сертификата сервера. Например, если порт по умолчанию 443 еще не используется и вы принимаете номер порта по умолчанию 443 для веб-узла Team Foundation Server, веб-узлу по умолчанию и веб-узлу центра администрирования SharePoint необходимо присвоить другой номер порта.

11. Просмотрите сведения на странице Сведения о сертификате и нажмите кнопку Далее.

12. Нажмите кнопку Готово.

13. На вкладке Безопасность каталога в разделе Управление доступом и проверка подлинности нажмите кнопку Изменить.

14. В окне Методы проверки подлинности убедитесь, что флажок Анонимный доступ снят. В разделе Доступ с проверкой подлинности установите флажок Встроенная проверка подлинности Windows, а затем — флажок Обычная проверка подлинности или Дайджест-проверка для серверов доменов Windows или оба одновременно, в зависимости от развертывания. Снимите все остальные флажки и нажмите кнопку ОК.

    Примечание.
    Если выбран параметр Дайджест-проверка для серверов доменов Windows, может появиться запрос на подтверждение. Прочитайте текст и нажмите кнопку Да.

15. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства Team Foundation Server.

    Примечание.
    Если после нажатия кнопки ОК появится диалоговое окно Изменение наследования, выберите параметр Выбрать все и нажмите кнопку ОК.

Присвоение сертификата веб-узлу по умолчанию

Выполните следующие действия, чтобы настроить поддержку протокола HTTPS на веб-узле по умолчанию в службах IIS.

Примечание.
В зависимости от иерархии сертификатов и инфраструктуры открытого ключа вам также может потребоваться настроить службы IIS для проверки подлинности с помощью сертификатов клиента. Дополнительные сведения см. в разделах Сертификаты (IIS 6.0), Службы сертификации и Сертификаты на веб-узле корпорации Майкрософт.

Настройка поддержки протокола HTTPS на веб-узле по умолчанию и требования использования протокола SSL

1. На сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите Администрирование, а затем — Диспетчер служб IIS.

2. Разверните узел <имя_компьютера> (локальный компьютер), а затем — Веб-узлы.

3. Щелкните правой кнопкой мыши Веб-узел по умолчанию и выберите пункт Свойства.

4. В окне Свойства веб-узла по умолчанию откройте вкладку Безопасность каталога.

5. В разделе Безопасные подключения выберите Сертификат сервера.

   Появится Мастер сертификатов веб-сервера. Нажмите кнопку Далее.

6. На странице Сертификат сервера выберите пункт Назначение существующего сертификата и нажмите кнопку Далее.

7. На странице Доступные сертификаты выберите сертификат, у которого Понятное имя имеет значение Team Foundation Server. Возможно, чтобы увидеть столбец Понятное имя, понадобится прокрутить список. Нажмите кнопку Далее.

8. На странице Порт SSL примите значение по умолчанию или введите новое значение и нажмите кнопку Далее. Порт по умолчанию для соединений SSL – 443, но необходимо присвоить уникальный номер порта для каждого из трех перечисленных веб-узлов: веб-узел Team Foundation Server, веб-узел по умолчанию и веб-узел центра администрирования SharePoint.

   Важное примечание.

   Целесообразно использовать номер порта, отличный от заданного по умолчанию, поскольку использование последнего может привести к снижению степени защищенности развернутого экземпляра приложения. Запишите номер SSL-порта. Номера портов SSL должны отличаться для каждого устанавливаемого сертификата сервера. Например, если для веб-узла Team Foundation Server принимается номер порта по умолчанию 443, необходимо присвоить другой номер порта для веб-узла по умолчанию и веб-узла центра администрирования SharePoint.

9. Просмотрите сведения на странице Сведения о сертификате и нажмите кнопку Далее.

10. Нажмите кнопку Готово. Мастер закроется.

11. .На вкладке Безопасность каталога в разделе Безопасные подключения нажмите кнопку Изменить.

12. В окне Безопасные подключения выберите Требуется безопасный канал (SSL). Убедитесь, что установлен флажок игнорировать сертификаты клиентов, и нажмите кнопку ОК.

13. На вкладке Безопасность каталога в разделе Управление доступом и проверка подлинности нажмите кнопку Изменить.

14. В окне Методы проверки подлинности убедитесь, что флажок Анонимный доступ снят. В разделе Доступ с проверкой подлинности установите флажок Встроенная проверка подлинности Windows, а затем — флажок Дайджест-проверка для серверов доменов Windows или Обычная проверка подлинности, или оба флажка одновременно, в зависимости от развертывания. Снимите все остальные флажки и нажмите кнопку ОК. Дополнительные сведения о методах проверки подлинности и Team Foundation Server см. в разделе Team Foundation Server, базовая проверка подлинности и дайджест-проверка подлинности.

    Примечание.
    Если выбран параметр Дайджест-проверка для серверов доменов Windows, может появиться запрос на подтверждение. Прочитайте текст и нажмите кнопку Да.

    Важное примечание.

    Дайджест-проверка подлинности должна быть правильно настроена. В противном случае при попытке получить доступ к Team Foundation Server произойдет ошибка. Не выбирайте дайджест-проверку подлинности, если только ваше развертывание не соответствует всем требованиям для дайджест-проверки подлинности. Дополнительные сведения о дайджест-проверке подлинности см. на веб-узле корпорации Майкрософт (https://go.microsoft.com/fwlink/?LinkId=89709).

15. Чтобы закрыть диалоговое окно Свойства веб-узла по умолчанию, нажмите кнопку ОК.

    Примечание.
    Если после нажатия кнопки ОК появится диалоговое окно Изменение наследования, выберите параметр Выбрать все и нажмите кнопку ОК.

Настройка веб-узла Team Foundation Server таким образом, чтобы он требовал использования протокола SSL

1. На сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите Администрирование, а затем — Диспетчер служб IIS.

2. Разверните узел <имя_компьютера> (локальный компьютер), а затем — Веб-узлы.

3. Щелкните правой кнопкой мыши Team Foundation Server и выберите пункт Свойства.

4. В окне Свойства Team Foundation Server откройте вкладку Безопасность каталога.

5. На вкладке Безопасность каталога в разделе Безопасные подключения нажмите кнопку Изменить.

6. В окне Безопасные подключения выберите Требуется безопасный канал (SSL). Убедитесь, что установлен флажок игнорировать сертификаты клиентов, и нажмите кнопку ОК.

7. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства Team Foundation Server.

   Примечание.
   Если после нажатия кнопки ОК появится диалоговое окно Изменение наследования, выберите параметр Выбрать все и нажмите кнопку ОК.

Присвоение сертификата центру администрирования SharePoint

Выполните следующие действия, чтобы настроить поддержку протокола HTTPS для центра администрирования SharePoint.

Настройка поддержки протокола HTTPS для центра администрирования SharePoint и требования использования протокола SSL

1. На сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите Администрирование, а затем — Диспетчер служб IIS.

2. Разверните узел <имя_компьютера> (локальный компьютер), а затем — Веб-узлы.

3. Щелкните правой кнопкой мыши Центр администрирования SharePoint и выберите пункт Свойства.

4. В окне Свойства центра администрирования SharePoint откройте вкладку Безопасность каталога.

5. В разделе Безопасные подключения выберите Сертификат сервера.

   Появится Мастер сертификатов веб-сервера. Нажмите кнопку Далее.

6. На странице Сертификат сервера выберите пункт Назначение существующего сертификата и нажмите кнопку Далее.

7. На странице Доступные сертификаты выберите сертификат, у которого Понятное имя имеет значение Team Foundation Server. Возможно, чтобы увидеть столбец Понятное имя, понадобится прокрутить список.

8. Нажмите кнопку Далее.

9. На странице Порт SSL примите значение по умолчанию или введите новое значение и нажмите кнопку Далее. Порт по умолчанию для соединений SSL – 443, но необходимо присвоить уникальный номер порта для каждого из трех перечисленных веб-узлов: веб-узел Team Foundation Server, веб-узел по умолчанию и веб-узел центра администрирования SharePoint.

   Важное примечание.

   Целесообразно использовать номер порта, отличный от заданного по умолчанию, поскольку использование последнего может привести к снижению степени защищенности развернутого экземпляра приложения. Запишите номер SSL-порта. Номера портов SSL должны отличаться для каждого устанавливаемого сертификата сервера. Например, если для веб-узла Team Foundation Server принимается номер порта по умолчанию 443, необходимо присвоить другой номер порта для веб-узла по умолчанию и веб-узла центра администрирования SharePoint.

   Примечание.
   Запишите данный номер, так как он понадобится при присвоении сертификата серверу отчетов SQL.

10. Просмотрите сведения на странице Сведения о сертификате и нажмите кнопку Далее.

11. Нажмите кнопку Готово.

12. .На вкладке Безопасность каталога в разделе Безопасные подключения нажмите кнопку Изменить.

13. В окне Безопасные подключения выберите Требуется безопасный канал (SSL). Убедитесь, что установлен флажок игнорировать сертификаты клиентов, и нажмите кнопку ОК.

14. Чтобы закрыть диалоговое окно Свойства центра администрирования SharePoint, нажмите кнопку ОК.

Настройка фильтра ISAPI

В том же каталоге, в котором находится файл AuthenticationFilter.dll, входящий в состав Team Foundation Server с пакетом обновления 1 (SP1), необходимо создать файл настройки ISAPI. Фильтр ISAPI также необходимо добавить в реестр.

Настройка фильтра ISAPI

1. .На сервере уровня приложений Team Foundation нажмите кнопку Пуск, последовательно выберите пункты Программы, Стандартные, Блокнот.

2. В "Блокноте" создайте следующие файл, где ProxyAddress — IP-адрес сервера (обычно маршрутизатора), через который проходит внешний сетевой трафик, предназначенный для сервера Team Foundation Server, для доступа к которому нужно потребовать основную и/или дайджест-проверку подлинности с использованием протоколов HTTPS и SSL, а SubnetMask — одна или несколько пар значений IP-адрес/маска подсети, для которых не нужно включать обычную или дайджест-проверку подлинности.

   Важное примечание.
   Если к файлу добавляется ключ ProxyIPList, ключ SubnetList и его значения пропускаются. Дополнительные сведения см. в разделе Team Foundation Server, базовая проверка подлинности и дайджест-проверка подлинности.

   Примечание.
   Можно использовать несколько значений ключей ProxyAddress или SubnetMask. Значения ключей ProxyAddress или SubnetMask должны разделяться точкой с запятой.

   [config]

   RequireSecurePort=true

   ProxyIPList=ProxyAddress;

   SubnetList=SubnetMask;

3. Сохраните этот файл с именем AuthenticationFilter.ini в том же каталоге, в котором находится файл AuthenticationFilter.dll. Таким каталогом является drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup**.

4. Откройте окно командной строки. Чтобы открыть окно командной строки, нажмите кнопку Пуск, выберите пункт Выполнить, введите строку cmd и нажмите кнопку ОК.

   Примечание.

   Даже если вход в систему выполнен с учетными данными администратора, необходимо открыть окно командной строки с повышенными правами, чтобы выполнить эту функцию на сервере под управлением Windows Server 2008. Чтобы открыть окно командной строки с повышенными правами, нажмите кнопку Пуск, щелкните правой кнопкой мыши Командная строка и выберите Запуск от имени администратора. Дополнительные сведения см. на веб-узле корпорации Microsoft.

5. В командной строке введите следующую команду:

   reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v EventMessageFile /t REG_SZ /d %windir%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll /f

6. В командной строке введите следующую команду:

   reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v TypesSupported /t REG_DWORD /d 7 /f

7. На сервере уровня приложений Team Foundation нажмите кнопку Пуск, выберите Администрирование, а затем — Диспетчер служб IIS.

8. Разверните узел <имя_компьютера> (локальный компьютер), затем — узел Веб-узлы, щелкните правой кнопкой мыши Team Foundation Server и выберите пункт Свойства.

9. В окне Свойства веб-узла по умолчанию откройте вкладку Фильтры ISAPI.

10. В разделе Фильтры ISAPI нажмите кнопку Добавить.

11. В окне Добавление и изменение свойств фильтра в поле Имя фильтра введите TFAuthenticationFilter, в поле Исполняемый файл введите drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup\AuthenticationFilter.dll** и нажмите кнопку ОК.

Настройка разрешения трафика SSL для брандмауэра

Необходимо настроить брандмауэр таким образом, чтобы он пропускал трафик для SSL-портов, указанных в службах IIS для веб-узла по умолчанию, веб-узла Team Foundation Server и веб-узла центра администрирования SharePoint.

Примечание.
Процедуры настройки брандмауэра, чтобы он разрешал трафик SSL, зависят от программного и аппаратного обеспечения брандмауэра, используемого в развертывании.

Настройка брандмауэра таким образом, чтобы он разрешал сетевой трафик на порты SSL, используемые сервером Team Foundation Server

• См. документацию по брандмауэру, чтобы определить действия, которые нужно выполнить, чтобы разрешить сетевой трафик на порты SSL, указанные для веб-узла по умолчанию, веб-узла Team Foundation Server и веб-узла центра администрирования SharePoint.

Обновление командных проектов для сервера отчетов SQL при помощи программы командной строки TFSConfigWss

Выполните следующие действия, чтобы обновить веб-узлы командных проектов для сервера отчетов SQL и отчеты правильно отображались на узлах портала командного проекта.

Обновление веб-узлов командных проектов для сервера отчетов SQL

1. На сервере уровня приложений для Team Foundation откройте окно командной строки и перейдите в каталог Диск:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.

2. В командной строке введите следующую команду и замените строки:

   • SharePointSite — это новый универсальный код ресурса (URI) семейства веб-узлов для продуктов и технологий SharePoint (продукты и технологии).

   • Reports — это новый универсальный код ресурса (URI) для служб отчетов SQL Server.

   • ReportServer — это новый универсальный код ресурса (URI) для веб-службы ReportsService.asmx.

     **TfsConfigWss ConfigureReporting /SharepointSitesUri:SharePointSite/ReportsUri:Reports/ReportServerUri:**ReportServer

Обновление данных конфигурации Team Foundation Server

Выполните следующие действия, чтобы обновить данные конфигурации, используя HTTPS-значения URL-адресов веб-узлов Windows SharePoint Services и служб отчетов.

Обновление данных конфигурации для сервера Team Foundation Server

1. На сервере уровня приложений Team Foundation откройте окно командной строки и перейдите в каталог Диск:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.

2. Введите следующую команду и замените строки, перечисленные ниже.

   • BaseServerURL — это новый универсальный код ресурса (URI) для веб-сервера, который находится на сервере уровня приложений Team Foundation.

   • BaseSiteURL — это новый универсальный код ресурса (URI) для веб-узла по умолчанию сервера уровня приложений.

   • SharePointSite — это новый универсальный код ресурса (URI) для семейства веб-узлов продуктов и технологий SharePoint.

   • SharePointAdministration — это новый универсальный код ресурса (URI) для веб-узла центра администрирования SharePoint.

   • Reports — это новый универсальный код ресурса (URI) для служб отчетов SQL Server.

   • ReportServer — это новый универсальный код ресурса (URI) для веб-службы ReportsService.asmx.

   **TfsAdminUtil ConfigureConnections /ATUri:BaseServerURL/SharepointUri:BaseSiteURL/SharepointSitesUri:SharePointSite/SharepointAdminUri:SharePointAdministration/ReportsUri:Reports/ReportServerUri:**ReportServer

   Примечание.
   Если используется именованный экземпляр, необходимо указать именованный экземпляр как часть значений строк Reports и ReportServer. Не удаляйте и не изменяйте имя данного именованного экземпляра.

   Например, если номер SSL-порта веб-узла Team Foundation имеет значение 443, номер SSL-порта веб-узла по умолчанию в службах IIS — значение 1443, номер порта центра администрирования SharePoint — значение 2443, а сервер уровня приложений имеет имя Contoso1, необходимо изменить значения следующим образом:

   **TfsAdminUtil ConfigureConnections /ATUri:**https://Contoso1:443 **/SharepointUri:**https://Contoso1:1443 **/SharepointSitesUri:https://Contoso1:1443/Sites/SharepointAdminUri:**https://Contoso1:2443 /ReportsUri:https://Contoso1:1443/Reports/ReportServerUri:https://Contoso1:1443/ReportServer

   Примечание.
   Команда ConfigureConnections имеет несколько дополнительных параметров, например, для обновления публичного веб-адреса, который используется в оповещениях по электронной почте. Дополнительные сведения см. в разделе Команда ConfigureConnections.

Настройка поддержки SSL-соединений службами отчетов

Выполните следующие действия для настройки служб отчетов таким образом, чтобы они требовали использования SSL-соединений.

Настройка поддержки SSL-соединений сервером отчетов

1. На сервере уровня приложений Team Foundation нажмите кнопку Пуск, последовательно выберите пункты "Программы", "Microsoft SQL Server 2005", "Средства настройки", а затем — "Настройка служб Reporting Services".

2. В диалоговом окне выбор экземпляра установки сервера отчетов убедитесь, что выбрано правильное имя компьютера и имя экземпляра, и нажмите кнопку Соединить.

3. В панели обозревателя выберите "Виртуальный каталог сервера отчетов".

4. В области Настройки виртуального каталога сервера отчетов установите флажок Необходимы соединения по протоколу SSL. В раскрывающемся списке Запрос для выберите пункт 1 — Только соединения. В поле Имя сертификата введите имя уровня приложений Team Foundation и нажмите кнопку Применить.

5. Закройте диспетчер настройки служб отчетов.

Установка сертификата на компьютерах построения

Если службы построения установлены на одном или нескольких серверах, необходимо установить сертификат на каждом из этих серверов.

Примечание.
Чтобы выполнять построения с использованием протокола SSL, сертификат должен быть установлен в доверенном корневом хранилище на компьютере построения для учетной записи, под которой запущена служба построения, и на компьютере, на котором запускается построение.

Установка сертификата на компьютерах построения

1. Войдите на компьютер построения с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

   https://CertificateServer:port/services/v1.0/serverstatus.asmx

3. Появится диалоговое окно с сообщением безопасности. В окне Предупреждение системы безопасности нажмите кнопку Просмотреть сертификат.

4. В диалоговом окне Сертификат откройте вкладку Путь сертификации.

5. На вкладке Путь сертификации выберите центр сертификации. Это должен быть верхний узел в иерархии сертификатов, и возле его имени должен отображаться красный значок Х. Это свидетельствует о том, что центр сертификации не является доверенным, поскольку он расположен вне хранилища доверенного корневого центра сертификации. Нажмите кнопку Просмотреть сертификат.

6. В диалоговом окне Сертификат нажмите кнопку Установить сертификат.

   Откроется окно мастера импорта сертификатов. Нажмите кнопку Далее.

7. На странице Хранилище сертификатов выберите пункт Поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор.

8. В поле Выбор хранилища сертификатов выберите параметр Показать физические хранилища. В разделе Выберите хранилище сертификатов разверните узел Доверенные корневые центры сертификации, выберите пункт Локальный компьютер и нажмите кнопку ОК.

9. На странице Хранилище сертификатов нажмите кнопку Далее.

10. На странице Завершение мастера импорта сертификатов нажмите кнопку Готово.

11. Может появиться диалоговое окно Мастер импорта сертификатов с подтверждением успешного импортирования. Если это диалоговое окно появится, нажмите кнопку ОК.

12. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для иерархии сертификатов верхнего узла будет закрыто.

13. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для зависимого сертификата будет закрыто.

14. В окне Предупреждение системы безопасности нажмите кнопку Нет.

15. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

16. Откроется страница Веб-служба ServerStatus. Это подтверждает, что вы правильно установили сертификат и центр сертификации. Закройте веб-обозреватель.

Настройка поддержки SSL-соединений агентом построения

Чтобы настроить поддержку SSL-соединений агентом построения, необходимо настроить сертификат HTTPS для каждой комбинации IP-адреса и порта. Если все агенты построения совместно используют один и тот же порт на компьютере построения, необходимо настроить только один сертификат. Если несколько агентов построения используются на нескольких портах, необходимо настроить сертификат для каждого порта.

Агент построения настраивается таким образом, чтобы он требовал использования протокола SSL. Для этого необходимо выполнить следующие действия:

1. Создать и настроить агент построения, чтобы он требовал использования протокола HTTPS.

2. Остановить службу Team Foundation Build Visual Studio.

3. Измените конфигурацию службы построения таким образом, чтобы она требовала использования протокола HTTPS.

4. Свяжите сертификат с IP-адресом и портом.

5. Настроить для агента построения порт и протокол.

6. Перезапустить службу Team Foundation Build Visual Studio.

7. Проверить конфигурацию SSL.

Настройка агента построения таким образом, чтобы он требовал использования протокола HTTPS

1. Откройте диалоговое окно Управление агентами построения и установите флажок Требовать безопасный канал (HTTPS).

   Дополнительные сведения см. в разделе Создание и управление агентами построения.

2. Нажмите кнопку Изменить.

   Появляется диалоговое окно Свойства агента построения.

3. В списке Состояние агента выберите параметр Отключен.

Остановка службы Visual Studio Team Foundation Build

1. Войдите на компьютер построения с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. На компьютере построения нажмите кнопку Пуск, последовательно выберите пункты Панель управления, Администрирование, а затем — Службы.

3. В области Службы (локальные) щелкните правой кнопкой мыши строку Visual Studio Team Foundation Build и выберите пункт Свойства.

   Откроется диалоговое окно Свойства Visual Studio Team Foundation Build (локальный компьютер).

4. В области Состояние службы нажмите кнопку Стоп.

Изменение конфигурации службы построения, чтобы она требовала использования протокола HTTPS

1. Войдите на компьютер построения с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. Откройте папку Диск:\Program Files\Microsoft Visual Studio 2008\Common7\IDE\PrivateAssemblies, щелкните правой кнопкой мыши файл TfsBuildservice.config.exe и выберите команду Открыть.

   Файл откроется в XML-редакторе Visual Studio.

3. В разделе <appSettings> измените значение раздела RequireSecureChannel на "true". Например, измените определение раздела на следующую строку:

   <add key="RequireSecureChannel" value="true" />
   

4. Сохраните изменения и закройте файл.

Связывание SSL-сертификата с IP-адресом и номером порта

1. Войдите на компьютер построения с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. С помощью оснастки диспетчера сертификатов найдите сертификат X.509, который используется для проверки подлинности клиента.

   Дополнительные сведения см. в разделе "Практическое руководство. Получение отпечатка сертификата" (https://go.microsoft.com/fwlink/?LinkId=93828).

3. Скопируйте отпечаток сертификата в текстовый редактор, например, "Блокнот".

4. Удалите все пробелы между шестнадцатеричными символами.

   Эту задачу можно выполнить с помощью функции поиска и замены текстового редактора, чтобы заменить каждый пробел символом null.

5. На компьютере построения нажмите кнопку Пуск, последовательно выберите пункты Все программы, Средства поддержки Windows, а затем — Командная строка.

6. Запустите инструмент HttpCfg.exe в режиме "Установлено" в хранилище SSL, чтобы связать сертификат с номером порта. Данный инструмент использует отпечаток для определения сертификата, как показано в следующем примере:

   httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces
   

   Параметр /i имеет синтаксис IPAddress:Port и указывает инструменту, что для сертификата нужно задать порт 9191 на компьютере построения. Для упрощения IP-адрес 0.0.0.0 резервирует все адреса компьютеров. Если необходима дополнительная точность, укажите точный IP-адрес компьютера, на котором опубликована служба агента. Параметр /h задает отпечаток сертификата.

   Если сертификат клиента должен согласовываться, добавьте параметр /f 2, как показано в следующем примере:

   httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces /f 2
   

   Дополнительные сведения о синтаксисе команды HttpCfg.exe см. в разделе "Практическое руководство. Настройка порта с сертификатом SSL" (https://go.microsoft.com/fwlink/?LinkId=93829).

Настройка порта и протокола агента построения

1. В командной строке выполните команду wcfhttpconfigfreePortNumber. Инструкция команды должна выглядеть примерно так:

   wcfhttpconfig free OldPortForHttp
   

   Дополнительные сведения см. в разделе wcfhttpconfig (Team Foundation Build).

2. В командной строке выполните команду wcfhttpconfigreserveUserAccountURL. Инструкция команды должна выглядеть приблизительно так:

   wcfhttpconfig reserve Domain\Account https://+Computer:NewPortForHttps/Build/v2.0/AgentService.asmx
   

3. Добавьте порт в список исключений брандмауэра Windows.

Перезапуск службы Visual Studio Team Foundation Build

1. Войдите на компьютер построения с учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. На компьютере построения нажмите кнопку Пуск, последовательно выберите пункты Панель управления, Администрирование, а затем — Службы.

3. В области Службы (локальные) щелкните правой кнопкой мыши строку Visual Studio Team Foundation Build и выберите пункт Свойства.

   Откроется диалоговое окно Свойства Visual Studio Team Foundation Build (локальный компьютер).

4. В области Состояние службы нажмите кнопку Пуск.

Проверка конфигурации SSL

1. Откройте диалоговое окно Управление агентами построения.

   Дополнительные сведения см. в разделе Создание и управление агентами построения.

2. Нажмите кнопку Изменить.

   Появляется диалоговое окно Свойства агента построения.

3. В списке Состояние агента выберите параметр Включен.

4. Убедитесь, что подключение работает, запустив построение с помощью агента построения.

   Дополнительные сведения см. в разделе Практическое руководство. Постановка в очередь или запуск определения построения.

Установка сертификата на компьютерах прокси-сервера Team Foundation Server

Если вы установили прокси-сервер Team Foundation Server на одном или нескольких компьютерах, необходимо установить сертификат на каждом из этих компьютеров.

Примечание.
В дополнение к процедуре, описанной ниже, для компьютера прокси-сервера необходимо настроить все брандмауэры, чтобы они разрешали трафик для SSL-портов, указанных для Team Foundation Server. Таким образом, процедуры настройки брандмауэра будут отличаться в зависимости от программного и аппаратного обеспечения брандмауэра, используемого в развертывании.

Установка сертификата на компьютерах прокси-сервера Team Foundation Server

1. Войдите на прокси-сервер Team Foundation Server под учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

   https://CertificateServer:port/services/v1.0/serverstatus.asmx

3. Появится диалоговое окно с сообщением безопасности. В окне Предупреждение системы безопасности нажмите кнопку Просмотреть сертификат.

4. В диалоговом окне Сертификат откройте вкладку Путь сертификации.

5. На вкладке Путь сертификации выберите центр сертификации. Это должен быть верхний узел в иерархии сертификатов, и возле его имени должен отображаться красный значок Х. Это свидетельствует о том, что центр сертификации не является доверенным, поскольку он расположен вне хранилища доверенного корневого центра сертификации. Нажмите кнопку Просмотреть сертификат.

6. В диалоговом окне Сертификат нажмите кнопку Установить сертификат.

   Откроется окно мастера импорта сертификатов. Нажмите кнопку Далее.

7. На странице Хранилище сертификатов выберите пункт Поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор.

8. В поле Выбор хранилища сертификатов выберите параметр Показать физические хранилища. В разделе Выберите хранилище сертификатов разверните узел Доверенные корневые центры сертификации, выберите пункт Локальный компьютер и нажмите кнопку ОК.

9. На странице Хранилище сертификатов нажмите кнопку Далее.

10. На странице Завершение мастера импорта сертификатов нажмите кнопку Готово.

11. Может появиться диалоговое окно Мастер импорта сертификатов с подтверждением успешного импортирования. Если данное диалоговое окно появится, нажмите кнопку ОК.

12. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для иерархии сертификатов верхнего узла будет закрыто.

13. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для зависимого сертификата будет закрыто.

14. В окне Предупреждение системы безопасности нажмите кнопку Нет.

15. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

16. Откроется страница Веб-служба ServerStatus. Это подтверждает, что вы правильно установили сертификат и центр сертификации. Закройте веб-обозреватель.

Установка сертификата на клиентских компьютерах

Каждый клиентский компьютер с доступом к Team Foundation Server должен иметь локально установленный сертификат. Кроме того, если клиентский компьютер ранее имел доступ к командному проекту Team Foundation Server, необходимо очистить кэш клиентского компьютера для каждого пользователя, который использует компьютер для подключения к Team Foundation Server, прежде чем пользователь сможет подключиться к Team Foundation Server.

Важное примечание.
Не выполняйте эту процедуру для клиентов Team Foundation, установленных на сервере Team Foundation Server.

Установка сертификата на клиентских компьютерах Team Foundation

1. Войдите на клиентский компьютер Team Foundation под учетной записью, входящей в группу Администраторы на этом компьютере.

2. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

   https://CertificateServer:port/services/v1.0/serverstatus.asmx

3. Появится диалоговое окно с сообщением безопасности. В окне Предупреждение системы безопасности нажмите кнопку Просмотреть сертификат.

4. В диалоговом окне Сертификат откройте вкладку Путь сертификации.

5. На вкладке Путь сертификации выберите центр сертификации. Это должен быть верхний узел в иерархии сертификатов, и возле его имени должен отображаться красный значок Х. Это свидетельствует о том, что центр сертификации не является доверенным, поскольку он расположен вне хранилища доверенного корневого центра сертификации. Нажмите кнопку Просмотреть сертификат.

6. В диалоговом окне Сертификат нажмите кнопку Установить сертификат.

   Откроется окно мастера импорта сертификатов. Нажмите кнопку Далее.

7. На странице Хранилище сертификатов выберите пункт Поместить все сертификаты в следующее хранилище и нажмите кнопку Обзор.

8. В поле Выбор хранилища сертификатов выберите параметр Показать физические хранилища. В разделе Выберите хранилище сертификатов разверните узел Доверенные корневые центры сертификации, выберите пункт Локальный компьютер и нажмите кнопку ОК.

9. На странице Хранилище сертификатов нажмите кнопку Далее.

10. На странице Завершение мастера импорта сертификатов нажмите кнопку Готово.

11. Может появиться диалоговое окно Мастер импорта сертификатов с подтверждением успешного импортирования. Если это диалоговое окно появится, нажмите кнопку ОК.

12. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для иерархии сертификатов верхнего узла будет закрыто.

13. В диалоговом окне Сертификат нажмите кнопку ОК. Диалоговое окно "Сертификат" для зависимого сертификата будет закрыто.

14. В окне Предупреждение системы безопасности нажмите кнопку Нет.

15. Откройте веб-обозреватель и откройте следующий веб-узел, где CertificateServer — имя вашего сервера сертификатов, а port — номер порта SSL, назначенный центру сертификации:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

16. Откроется страница Веб-служба ServerStatus. Это подтверждает, что вы правильно установили сертификат и центр сертификации. Закройте веб-обозреватель.

Очистка кэша на клиентских компьютерах Team Foundation

1. Войдите на клиентский компьютер Team Foundation, используя учетные данные пользователя, для которого необходимо выполнить обновление.

2. На клиентском компьютере Team Foundation закройте все открытые экземпляры Visual Studio.

3. Откройте веб-обозреватель и откройте следующую папку:

   диск**:\Documents and Settings\имя_пользователя\Local Settings\Application Data\Microsoft\Team Foundation\2.0\Cache**

4. Удалите содержимое каталога кэша. Убедитесь, что удалены все вложенные папки.

5. Нажмите кнопку Пуск, выберите пункт Выполнить, введите команду devenv /resetuserdata и нажмите кнопку ОК.

6. Повторите эти шаги для каждой учетной записи пользователя на компьютере с доступом к Team Foundation Server.

   Примечание.
   Можно разослать инструкции по очистке кэша для всех пользователей Team Foundation Server, чтобы они могли выполнять очистку кэша самостоятельно.

См. также

Задачи

Пошаговое руководство по настройке сервера Team Foundation Server с использованием протокола SSL и фильтра ISAPI

Основные понятия

Team Foundation Server, HTTPS и SSL

Team Foundation Server, базовая проверка подлинности и дайджест-проверка подлинности

Другие ресурсы

Пошаговые руководства по администрированию Team Foundation

Защита Team Foundation Server при помощи HTTPS и SSL