Практическое руководство. Настройка агента построения на обязательное использование HTTPS и SSL

Обновлен: Ноябрь 2007

Чтобы настроить поддержку SSL-соединений агентом построения, необходимо настроить сертификат HTTPS для каждой комбинации IP-адреса и порта. Если все агенты построения совместно используют один и тот же порт на компьютере построения, необходимо настроить только один сертификат. Если несколько агентов построения запущены на нескольких портах, необходимо настроить сертификат для каждого порта.

Перед настройкой агента построения для SSL-соединений убедитесь, что выполняются следующие требования.

• Имеется доступ к административным учетным данным Windows на компьютере построения.

• Team Foundation Build и Сред. Командный обозреватель установлены и находятся в рабочем состоянии.

• Для агента построения был выпущен сертификат. Дополнительные сведения см. в разделе Пошаговое руководство. Настройка сервера Team Foundation Server таким образом, чтобы он требовал использования протоколов HTTPS и SSL.

• На компьютере построения установлены средства поддержки Windows. Это требуется для связывания сертификата с IP-адресом и портом. Дополнительные сведения о средствах поддержки Windows см. в разделе https://go.microsoft.com/fwlink/?LinkId=93827.

Чтобы настроить агент построения на обязательное использование SSL, выполните последовательно следующие задачи:

1. Создайте и настройте агент построения, чтобы он требовал использования протокола HTTPS.

2. Остановите службу Visual Studio Team Foundation Build.

3. Измените конфигурацию службы построения таким образом, чтобы она требовала использования протокола HTTPS.

4. Свяжите сертификат с IP-адресом и портом.

5. Настройте порт и протокол для агента построения.

6. Перезапустите службу Visual Studio Team Foundation Build.

7. Проверьте конфигурацию SSL.

Необходимые разрешения

Для выполнения этой процедуры нужно быть членом группы "Администраторы" на компьютере с установленным компонентом Team Foundation Build. Дополнительные сведения см. в разделе Разрешения Team Foundation Server.

Настройка агента построения таким образом, чтобы он требовал использования протокола HTTPS

1. В диалоговом окне Управление агентами построения установите флажок Требовать защищенный канал (HTTPS).

   Дополнительные сведения см. в разделе Создание и управление агентами построения.

2. Нажмите кнопку Изменить.

3. В диалоговом окне Свойства агента построения выберите Отключен из раскрывающегося меню Статус агента.

Остановка службы Visual Studio Team Foundation Build

1. Войдите на компьютер построения под учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. На компьютере построения нажмите кнопку Пуск, последовательно выберите пункты Панель управления, Администрирование, а затем — Службы.

3. В области Службы (локальные) щелкните правой кнопкой мыши строку Visual Studio Team Foundation Build и выберите пункт Свойства.

   Откроется диалоговое окно Свойства Visual Studio Team Foundation Build (локальный компьютер).

4. В области Состояние службы нажмите кнопку Остановить.

Изменение конфигурации Visual Studio Team Foundation Build для обязательного использования HTTPS

1. Войдите на компьютер построения под учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. Откройте папку Корень:\Program Files\Microsoft Visual Studio 9.0\Common7\IDE\PrivateAssemblies, щелкните правой кнопкой мыши файл TfsBuildservice.config.exe и выберите команду Открыть.

   Файл откроется в XML-редакторе Visual Studio.

3. Измените значение ключа RequireSecureChannel, расположенного в разделе <appSettings>, на true.

   Например, измените определение ключа на следующую строку:

   <add key="RequireSecureChannel" value="true" />
   

4. Сохраните изменения и закройте файл.

Связывание SSL-сертификата с IP-адресом и номером порта

1. Войдите на компьютер построения под учетной записью, входящей в группу "Администраторы" на этом компьютере.

   Примечание.
   Установите сертификат службы Visual Studio Team Foundation Build в персональное хранилище учетной записи службы Team Foundation Build или в персональное хранилище локального компьютера. Если установить сертификат в персональное хранилище пользователя, для которого выполнен вход, Team Foundation Build не запустится.

2. С помощью оснастки диспетчера сертификатов найдите сертификат X.509, который используется для проверки подлинности клиента.

   Дополнительные сведения см. по адресу https://go.microsoft.com/fwlink/?LinkId=93828..

3. Скопируйте отпечаток сертификата в текстовый редактор, например, "Блокнот".

4. Удалите все пробелы между шестнадцатеричными символами.

   Пробелы можно удалить с помощью функции поиска и замены в текстовом редакторе, заменив каждый пробел пустым символом.

5. На компьютере построения нажмите кнопку Пуск, последовательно выберите пункты Все программы, Средства поддержки Windows, а затем — Командная строка.

6. Выполните средство HttpCfg.exe в режиме "set" для хранилища SSL, чтобы привязать сертификат к номеру порта.

   Это средство использует отпечаток для идентификации сертификата, как показано в следующем примере:

   httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces
   

   Параметр /i имеет синтаксис IP-адрес:порт и указывает средству установить сертификат на порт 9191 компьютера построения. Для упрощения IP-адрес 0.0.0.0 резервирует все адреса компьютеров. Если необходима дополнительная точность, укажите точный IP-адрес компьютера, на котором опубликована служба агента. Параметр /h указывает отпечаток сертификата.

   Если необходимо согласование клиентского сертификата, добавьте аргумент /f 2, как показано в следующем примере:

   httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces /f 2
   

   Дополнительные сведения о синтаксисе команды HttpCfg.exe см. по адресу https://go.microsoft.com/fwlink/?LinkId=93829.

Примечание.
При использовании операционных систем Windows Vista или Windows Server 2008 используйте netsh.exe вместо HttpCfg.exe. Дополнительные сведения о программе netsh.exe см. по адресу https://go.microsoft.com/fwlink/?LinkId=98790.

Настройка порта и протокола агента построения

1. В командной строке выполните команду wcfhttpconfig freeНомерПорта.

   Инструкция команды должна выглядеть примерно так:

   wcfhttpconfig free OldPortForHttp
   

   Дополнительные сведения см. в разделе wcfhttpconfig (Team Foundation Build).

2. В командной строке выполните команду wcfhttpconfig reserveУчетнаяЗаписьПользователяURL-адрес.

   Инструкция команды должна выглядеть приблизительно так:

   wcfhttpconfig reserve Domain\Account https://+:NewPortForHttps/Build/v2.0/AgentService.asmx
   

3. Добавьте порт в список исключений брандмауэра Windows.

Перезапуск службы Visual Studio Team Foundation Build

1. Войдите на компьютер построения под учетной записью, входящей в группу "Администраторы" на этом компьютере.

2. На компьютере построения нажмите кнопку Пуск, последовательно выберите пункты Панель управления, Администрирование, а затем — Службы.

3. В области Службы (локальные) щелкните правой кнопкой мыши строку Visual Studio Team Foundation Build и выберите пункт Свойства.

   Откроется диалоговое окно Свойства Visual Studio Team Foundation Build (локальный компьютер).

4. В области Состояние службы нажмите кнопку Пуск.

Проверка конфигурации SSL

1. В диалоговом окне Управление агентами построения нажмите кнопку Изменить.

2. В диалоговом окне Свойства агента построения выберите Включен из раскрывающегося меню Статус агента.

   Дополнительные сведения см. в разделе Создание и управление агентами построения.

3. Проверьте, осуществляется ли связь, выполнив построение с помощью агента построения.

   Дополнительные сведения см. в разделе Практическое руководство. Постановка в очередь или запуск определения построения.

См. также

Задачи

Пошаговое руководство по настройке сервера Team Foundation Server с использованием протокола SSL и фильтра ISAPI

Основные понятия

Team Foundation Server, HTTPS и SSL

Team Foundation Server, базовая проверка подлинности и дайджест-проверка подлинности

Другие ресурсы

Защита Team Foundation Server при помощи HTTPS и SSL