Nastavení HTTPS s protokolem SSL (Secure Sockets Layer) pro Team Foundation Server
Můžete posílit zabezpečení nasazení aplikace Visual Studio Team Foundation Server (TFS) podle její konfiguraci pro použití s vrstvu SSL (Secure Sockets) Hypertext Transfer Protocol Secure (HTTPS).Můžete buď požadovat tento protokol, který maximalizuje zabezpečení nasazení, nebo můžete se rozhodnout podporuje protokol HTTPS pomocí protokolu SSL, kromě výchozí protokolu HTTP.Pokud chcete používat řešení Release Management pro Visual Studio 2013, můžete také nakonfigurovat která využívá protokol HTTPS pomocí protokolu SSL, i když není možné konfigurovat ji pro podporu protokolu HTTP a HTTPS pomocí protokolu SSL.
Než se rozhodnete pro některou konfiguraci, prostudujte si zde popsané výhody a nevýhody.Až zjistíte, která konfigurace bude nejlépe splňovat požadavky na zabezpečení vaší organizace, nakonfigurujte své nasazení podle pokynů v tomto tématu.
V tomto tématu
Koncepční informace
Výhody podpory protokolu HTTPS s protokolem SSL navíc k protokolu HTTP
Výhody vyžadování protokolu HTTPS s protokolem SSL pro všechna připojení
Nevýhody podpory nebo vyžadování protokolu HTTPS s protokolem SSL
Požadavky
Předpoklady
Konfigurace serveru
Získání certifikátu
Vyžádání, instalace a konfigurace webů s certifikátem
Konfigurace brány firewall
Konfigurace služby SQL Server Reporting Services
Konfigurace protokolu HTTPS pro sady TFS
Volitelné úlohy konfigurace
Testování přístupu k nasazení (volitelné)
Konfigurace nasazení tak, aby vyžadovalo protokol HTTPS s protokolem SSL (volitelné)
Konfigurace sestavení
Instalace certifikátu na sestavovací servery
Aktualizace konfigurace sestavení
Konfigurace správy verzí
Správa vydaných verzí a sady TFS
Konfigurace serveru pro správu verzí použití protokolu HTTPS
Všechny správy vydaných verzí připojení pomocí protokolu HTTPS
Konfigurace klienta
Konfigurace klientských počítačů
Konfigurace úložiště Git
- Konfigurace certifikátů v úložišti Git
Výhody podpory protokolu HTTPS s protokolem SSL navíc k protokolu HTTP
Pokud nasazení serveru TFS nakonfigurujete tak, aby podporovalo oba protokoly, budou se uživatelé, v jejichž počítačích je nakonfigurován protokol HTTPS s protokolem SSL, připojovat pomocí tohoto protokolu, což zajistí lepší zabezpečení vašeho nasazení.Uživatelé, v jejichž počítačích je nakonfigurován pouze protokol HTTP, se k vašemu nasazení budou moci přesto připojit.Ačkoli byste tuto konfiguraci neměli nasazovat ve veřejných sítích, můžete získat následující výhody, pokud budete v řízeném síťovém prostředí nadále podporovat připojení přes protokol HTTP:
Postupnou konfigurací protokolu HTTPS s protokolem SSL v klientských počítačích můžete postupně zvyšovat zabezpečení svého nasazení.Pokud budete postupovat ve fázích, nemusíte upgradovat všechny počítače najednou, přičemž uživatelé, jejichž počítače zatím nebyly upgradovány, se k nasazení stále mohou připojit.
Můžete snadněji konfigurovat a spravovat Team Foundation Server.
Volání mezi webovými službami jsou rychlejší přes protokol HTTP, než přes protokol HTTPS s protokolem SSL.Proto můžete nadále podporovat připojení HTTP z klientských počítačů, jejichž výkonové požadavky převažují nad riziky zabezpečení.
Výhody vyžadování protokolu HTTPS s protokolem SSL pro všechna připojení
Pokud budete protokol HTTPS s protokolem SSL vyžadovat pro všechna připojení, získáte následující výhody:
Všechna webová připojení mezi aplikační, datovou a klientskou vrstvou pro Team Foundation jsou lépe zabezpečena, protože vyžadují certifikáty.
Konfigurací certifikátů, jejichž platnost vyprší při ukončení určité fáze projektu, můžete snadněji řídit přístup.
Nevýhody podpory nebo vyžadování protokolu HTTPS s protokolem SSL
Předtím, než server TFS nakonfigurujete tak, aby podporoval nebo vyžadoval protokol HTTPS s protokolem SSL, byste měli zvážit následující nevýhody:
Můžete si zkomplikovat úlohy průběžné správy.Před instalací aktualizací Service Pack nebo jiných aktualizací budete například muset změnou konfigurace nasazení zastavit podporu protokolu HTTPS s protokolem SSL.
Budete muset nejen nakonfigurovat, ale také spravovat certifikační autoritu (CA) a důvěryhodnosti certifikátů.Můžete využívat službu Certificate Services ve Windows Server 2003 a Windows Server 2008, zřejmě ale nebudete chtít investovat čas a zdroje, které vyžaduje nasazení zabezpečené infrastruktury veřejných klíčů (PKI).
Musíte věnovat významný čas nastavení a testování jedné z těchto konfigurací, přičemž řešení problémů vašeho nasazení bude obtížnější.
Budete-li nadále podporovat oba protokoly, nemusí být externí připojení šifrovaná, pokud aplikační vrstva pro Team Foundation není řádně zabezpečena.
Pokud budete vyžadovat protokol HTTPS s protokolem SSL, sníží se výkon vašeho nasazení.
Konfigurace nasazení tak, aby podporovalo nebo vyžadovalo protokol HTTPS s protokolem SSL
Postupy v tomto tématu popisují jeden proces vyžádání, vydání a přiřazení certifikátů, které jsou u serveru TFS požadovány pro připojení SSL.Pokud používáte jiný software, než je popsaný v tomto tématu, může se tento postup lišit.Aby nasazení serveru TFS podporovalo externí připojení, musíte v Internetové informační službě (IIS) navíc povolit základní ověřování, ověřování hodnotou hash nebo obojí.
Pomocí postupů v tomto tématu provedete následující úlohy:
Získáte certifikáty pro nasazení serveru Team Foundation Server a webů, které používá.
Nainstalujete a přiřadíte certifikáty.
Nakonfigurujete Team Foundation Server.
Nakonfigurujete Team Foundation Build.
Konfigurace správy vydaných verzí pro Visual Studio 2013
Nakonfigurujete klientské počítače.
Požadavky
Postupy v tomto tématu vyžadují splnění následujících požadavků:
Musí být nainstalovány logické součásti datové a aplikační vrstvy Team Foundation, ačkoli v případě samotného serveru TFS nemusí být nutně nakonfigurovány.Tyto vrstvy zahrnout služby IIS, SQL Servera všechny další součásti, které vám mohou mít integrovaný, jako například Produkty SharePoint, Team Foundation Build, Správa verzí a SQL Server služby Reporting Services.
Postupy v tomto tématu se týkají serveru nebo serverů, na kterých běží logické součásti v aplikační vrstvě pro Team Foundation a v datové vrstvě pro Team Foundation.Aplikační a datovou vrstvu lze provozovat na jenom nebo několika serverech, jak popisuje téma Průvodce instalací serveru Team Foundation Server.
Musí mít certifikační autoritou (CA) odkud mohou vystavovat certifikáty, nebo odběru jste se přihlásili k certifikační autoritě třetí strany s důvěryhodné řetězcem.Toto téma předpokládá, že používáte certifikační služby jako certifikační Autority, ale můžete použít jakékoli certifikační Autority, která jste nakonfigurovali pro nasazení nebo certifikáty od důvěryhodné třetí strany certifikační autority.Pokud certifikační autoritu nemáte, můžete nainstalovat službu Certificate Services a nakonfigurovat ji.Další informace naleznete v jedné z následujících sad dokumentace na webu společnosti Microsoft:
Pro systém Windows Server 2012: Active Directory Certificate Services
Pro systém Windows Server 2008: Active Directory Certificate Services a veřejný klíč správy
Požadovaná oprávnění
Chcete-li u všech součástí svého nasazení konfigurovat protokoly HTTPS a SSL, musíte být správcem.Pokud pracujete v distribuovaném nasazení, kde mají různí lidé oprávnění správce pro jednotlivé součásti, například SharePoint, bude konfigurace vyžadovat součinnost s těmito lidmi.
Konkrétně musíte patřit do skupiny Team Foundation Administrators a do skupiny Administrators v aplikační vrstvě, datové vrstvě a na proxy serverech TFS pro Team Foundation.Chcete-li konfigurovat sestavovací server, musíte patřit do skupiny Administrators na tomto serveru.Pokud chcete nakonfigurovat správu vydaných verzí, musí patřit do správci skupin na serveru, který je hostitelem serveru správy verzí a být členem skupiny správce verzí role v řešení správy vydaných verzí.Pokud se ve vašem nasazení používá Produkty SharePoint, musíte patřit do skupiny Administrators na serveru, který hostuje Centrální správu SharePoint.Musí také patřit do skupiny Farm Administrators.Jestliže v nasazení používáte vytváření sestav, musíte být členem skupiny správy zabezpečení nebo mít individuálně nastavená ekvivalentní oprávnění pro konfiguraci služby vytváření sestav.Další informace o oprávněních naleznete v tématu Oprávnění v prostředí Team Foundation Server.
Předpoklady
Postupy v tomto tématu předpokládají, že jsou splněny následující podmínky:
Server nebo servery datové a aplikační vrstvy jsou nainstalovány a nasazeny v zabezpečeném prostředí a nakonfigurovány podle osvědčených postupů zabezpečení.
Jste nainstalovali Release Management pro Visual Studio 2013.
Jste obeznámeni s konfigurací a správou infrastruktury veřejných klíčů a vyžadováním, vystavováním a přiřazováním certifikátů.
Máte praktické znalosti topologie sítě vývojového prostředí a jste obeznámeni s konfigurací síťových nastavení, služby IIS a systému SQL Server.
Získání certifikátu
Než u serveru TFS nakonfigurujete použití protokolu HTTPS s protokolem SSL, musíte získat a nainstalovat certifikát serveru pro servery ve svém nasazení.Chcete-li získat certifikát serveru, musíte nainstalovat a nakonfigurovat vlastní certifikační autoritu nebo certifikační autoritu z externí organizace musí používat (třetí strany certifikáty) důvěryhodnosti.
Další informace o instalaci certifikační autority naleznete v následujících tématech na webu společnosti Microsoft:
Pro systém Windows Server 2012: nasazení hierarchii AD CS dvouvrstvá PKI
Pro systém Windows Server 2008: Active Directory Certificate Services a veřejný klíč správy
Vyžádání, instalace a konfigurace webů s certifikátem
Jakmile se zaregistrujete u certifikační autority, musíte buď vyžádat certifikát pomocí Správce služby IIS, nebo ručně nainstalovat certifikát na všechny následující servery v nasazení:
Každý server aplikační vrstvy
Každý server, na kterém běží proxy server pro Team Foundation Server, pokud jsou ve vašem nasazení nakonfigurovány
Každý server, na kterém běží Team Foundation Build Service buď jako kontroler sestavení, nebo jako sestavovací agent, pokud jsou ve vašem nasazení nakonfigurovány
Každý server, který běží Release Management Server nebo jakékoli servers¹ v prostředí s verzí, jsou spuštěny agenta nasazení, je-li správa vydaných verzí je součástí vaše nasazení.
Každý server, na kterém běží Produkty SharePoint, pokud je Produkty SharePoint ve vašem nasazení nakonfigurován
[!POZNÁMKA]
Konfigurace webu služby SharePoint pro použití protokolu HTTPS a certifikáty často vyžaduje další kroky, jako je například konfigurace mapování alternativních adres URL a konfigurace infrastruktury ověřování.Další informace naleznete v dokumentaci nejnovější SharePoint pro vaši verzi produktu.
Server, na kterém běží služba Reporting Services, pokud je ve všem nasazení nakonfigurována
Kromě toho musí být klientské počítače ve vašem nasazení zaregistrovány v řetězu certifikátů a vyžádat si potřebný certifikát.Pokud používáte Správa vydaných verzí, jedná se o všech počítačích se systémem Release Management client, jakož i jakékoli clients¹ spuštěn v prostředí verze agenta nasazení.Pokud u některých projektů používáte pro správu verzí Git, budou si uživatelé v těchto projektech muset také nakonfigurovat Git ve svých počítačích, aby bylo možné rozpoznat a používat klientský certifikát.Informace o tom, jak vyžádat klientský certifikát od konkrétní certifikační autority, naleznete v dokumentaci k této certifikační autoritě.
¹ klienty a servery se nazývají samostatně zde, ale které je právě konvence tohoto dokumentu.Všechny počítače se spuštěným agentem nasazení musí nainstalován certifikát.
Spusťte Správce Internetové informační služby (IIS).
Rozbalte server, přejděte na Certifikáty serveru a vytvořte a dokončete žádost o certifikát.
Další informace naleznete v tématu konfigurace certifikátů serveru ve službě IIS.
Importujte tento certifikát.
Nyní je nutné nakonfigurovat každý web, který bude vyžadovat tento certifikát se odpovídající nastavení (s výjimkou správy vydaných verzí webové stránky, který nakonfigurujete později).Konkrétně to budete muset udělat u každého z následujících webů:
Výchozí web
Team Foundation Server
Proxy server pro Microsoft Team Foundation (pokud ho v nasazení používáte)
Centrální správa SharePoint (pokud v nasazení používáte SharePoint)
Na každém serveru, který je hostitelem webu, který chcete konfigurovat, spusťte Správce Internetové informační služby (IIS).
Rozbalte položku ComputerName, rozbalte položku weby, spusťte příkaz pro web, který chcete konfigurovat (například Team Foundation Server) a poté zvolte možnost vazby z podokna akce.
V okně Vazby webu klikněte na tlačítko Přidat.
Zobrazí se dialogové okno Přidat vazbu webu.
V seznamu Typ vyberte možnost https.
Do pole Port zadejte jiné číslo portu.
Důležité Výchozí číslo portu pro připojení SSL je 443, musíte ale přiřadit jedinečné číslo portu každému z následujících webů: výchozí web, Team Foundation Server, proxy server pro Microsoft Team Foundation (používáte-li ho v nasazení) a Centrální správa SharePoint (používáte-li v nasazení SharePoint).
Číslo portu SSL pro každý web, který je nakonfigurovat by měl zaznamenat.Je třeba zadat tato čísla v konzole pro správu pro Team Foundation.
V seznamu Certifikát SSL vyberte importovaný certifikát, klikněte na tlačítko OK a zavřete stránku Vazby.
Na domovské stránce konfigurovaného webu otevřete stránku Funkce.
V oblasti IIS zvolte možnost Ověřování.
Zvolte metodu ověřování, kterou chcete konfigurovat, otevřete její podnabídku a pak povolte, zakažte nebo proveďte další konfiguraci této metody tak, aby co nejlépe splňovala vaše potřeby zabezpečení.Pokud byste například chtěli zakázat anonymní ověřování, vybrali byste metodu Anonymní ověřování a v nabídce Akce zvolili příkaz Zakázat.
Po dokončení konfigurace restartujte webové služby.
Konfigurace brány firewall
Bránu firewall je třeba nakonfigurovat tak, aby umožňovala přenosy přes porty SSL, které jste právě zadali ve službě IIS.Další informace získáte v dokumentaci ke své bráně firewall.
Důležité |
---|
Vyzkoušejte přenosy na těchto portech z jiného počítače.Pokud nemůžete získat přístup k výchozímu webu nebo k Team Web Access, překontrolujte nastavení portu zadané pro tyto weby ve službě IIS a ověřte, zda je brána firewall nakonfigurována tak, aby umožňovala přenosy na těchto portech. |
Konfigurace služby SQL Server Reporting Services
Pokud v nasazení používáte vytváření sestav, musíte u služby SQL Server Reporting Services nakonfigurovat podporu protokolu HTTPS s protokolem SSL a použít port, který jste zadali ve službě IIS pro Team Foundation Server.V opačném případě nebude server sestav ve vašem nasazení správně fungovat.Další informace naleznete v tématu konfigurace serveru sestav pro vrstvu SSL (Secure Sockets) připojení.
Tip
Pokud v nasazení nepoužíváte vytváření sestav, můžete tento postup přeskočit.
Konfigurace protokolu HTTPS pro sady TFS
Následující postup ke konfiguraci sady TFS nasazení s porty HTTPS a hodnoty, které jste nakonfigurovali ve službě IIS pro výchozí a Team Foundation Server webů.
Změna konfigurace serveru Team Foundation Server tak, aby používal nebo vyžadoval protokol HTTPS
Otevřete konzolu pro správu Team Foundation a přejděte na uzel aplikační vrstvy.
V části Souhrn aplikační vrstvy zvolte možnost Změnit adresy URL.
Otevře se okno Změnit adresy URL.
V části Adresa URL oznámení zadejte adresu URL HTTPS, kterou jste ve službě IIS nakonfigurovali pro web Team Foundation Server.
Tento web jste například mohli nakonfigurovat tak, aby používal port 444.V takovém případě zadejte https://název_serveru: 444/tfs.Nepoužívejte název localhost, ale plně kvalifikovaný název domény tohoto serveru.
Klikněte na tlačítko Test.Pokud test není úspěšný, neklikejte na tlačítko OK.Vraťte se a zkontrolujte, zda jste zadali správnou adresu URL a port, zda všechny brány firewall umožňují přenosy na těchto portech a zda je tento web dostupný a spuštěný ve Správci služby IIS.
Chcete-li vyžadovat protokol HTTPS, v části Adresa URL serveru zvolte možnost Použít a zadejte adresu URL HTTPS, kterou jste nakonfigurovali pro web Team Foundation Server.
Nepoužívejte název localhost, ale plně kvalifikovaný název domény tohoto serveru.
Klikněte na tlačítko Test a pokud je test úspěšný, klikněte na tlačítko OK.
Pokud ve svém nasazení používáte Produkty SharePoint, zvolte v konzole pro správu položku Webové aplikace SharePoint.V opačném případě přeskočte dalších šest kroků.
V poli Webové aplikace SharePoint vyberte v seznamu Název nějakou webovou aplikaci a zvolte příkaz Změnit.
Otevře se stránka Nastavení webové aplikace SharePoint.
V poli Adresa URL webové aplikace změňte adresu URL na hodnotu HTTPS této aplikace.
V poli Adresa URL Centrální správy změňte adresu URL na hodnotu HTTPS webu Centrální správy.
(Volitelné) V poli Popisný název změňte hodnotu tak, aby odrážela adresu HTTPS této aplikace.
Klikněte na tlačítko OK.
Předchozích pět kroků opakujte pro všechny webové aplikace SharePoint ve svém nasazení.
Pokud v nasazení používáte službu Reporting Services, vyberte v konzole pro správu možnost Vytváření sestav.V opačném případě zbývající část tohoto postupu přeskočte.
V části Vytváření sestav klikněte na tlačítko Upravit.
Pokud se otevře dialogové okno Odpojit, klikněte na tlačítko OK.
Otevře se okno Vytváření sestav.
Vyberte kartu Sestavy.Do pole Adresy URL pro server sestav zadejte adresy URL HTTPS Webové služby a Správce sestava klikněte na tlačítko OK.
Testování přístupu k nasazení
Měli byste vyzkoušet, zda provedené změny fungují tak, jak očekáváte.Tento krok je sice volitelný, ale důrazně se doporučuje.
Testování přístupu k nasazení
V počítači, který není hostitelem aplikační vrstvy, spusťte webový prohlížeč a přejděte na domovskou stránku týmu.
Ověřte, zda máte k týmům a projektům přístup přes Team Web Access, a to včetně stránek pro správu.
Pokud k nasazení nemůžete získat přístup přes Team Web Access, zkontrolujte právě provedený postup a ověřte, zda jste všechny změny konfigurace provedli správně.
Konfigurace nasazení tak, aby vyžadovalo protokol HTTPS s protokolem SSL (volitelné)
Můžete vyžadovat, aby všechna připojení k aplikační vrstvě serveru TFS používala protokol HTTPS s protokolem SSL.Toto dodatečné zabezpečení je volitelné, ale doporučuje se.
Vyžádání připojení SSL
Na serveru, který je hostitelem webu, který chcete konfigurovat, klikněte na tlačítko Start, zvolte Nástroje pro správu a pak zvolte příkaz Správce Internetové informační služby (IIS).
Proveďte příslušný postup podle vaší verze služby IIS:
Pro nasazení, která používají IIS 7.0:
Rozbalte položku ComputerName, rozbalte položku webya pak zvolte web, pro který chcete konfigurovat.
Na domovské stránce tohoto webu zvolte možnost Nastavení SSL.
V podokně Nastavení SSL zaškrtněte políčko Požadovat protokol SSL.
(Volitelné) Zaškrtněte políčko Vyžadovat 128bitové šifrování SSL.
V části Klientské certifikáty zvolte možnost Ignorovat, Přijmout nebo Vyžadovat podle požadavků na zabezpečení svého nasazení.
V části Akce klikněte na tlačítko Použít.
Opakujte tyto kroky pro každý web, u kterého chcete vyžadovat protokol SSL.
Instalace certifikátu na sestavovací servery
Pokud jste nainstalovali Team Foundation Build Service na jeden nebo více serverů, musíte do úložiště důvěryhodných kořenových certifikačních autorit každého serveru nainstalovat certifikát.Další informace naleznete v tématu získání certifikátu a vyžádání, instalace a konfigurace webů pomocí certifikátu dříve v tomto tématu.Jak kontroler, tak agent vyžadují certifikát s privátním klíčem, kterým se v připojeních HTTPS vzájemně identifikují.
[!POZNÁMKA]
Chcete-li provádět sestavování přes protokol SSL, musí být certifikát nainstalován v úložišti důvěryhodných kořenových certifikátů jak u kontroleru sestavení, tak u sestavovacího agenta.
Aktualizace konfigurací sestavení
Chcete-li nakonfigurovat Team Foundation Build pro připojení SSL, musíte nakonfigurovat sestavovací službu tak, aby používala adresu URL HTTPS, kterou jste nastavili pro aplikační vrstvu, a kolekci, kterou konfigurace sestavení podporuje.Tuto adresu URL je nutné nakonfigurovat pro každou konfiguraci sestavení v nasazení.
Změna konfigurace sestavení tak, aby se používal protokol HTTPS
Na serveru, který je hostitelem konfigurace sestavení, kterou chcete konfigurovat, spusťte konzolu pro správu Team Foundation.
V oblasti Team Foundation rozbalte název serveru a zvolte položku Konfigurace sestavení.
Zobrazí se podokno Konfigurace sestavení.
V oblasti konfigurace služby zvolte příkaz Zastavita pak příkaz Vlastnosti.
Otevře se dialogové okno Vlastnosti sestavovací služby.
V části Komunikace ověřte, zda adresa URL kolekce týmových projektů používá správnou adresu HTTPS a úplný název serveru.
V části Místní koncový bod sestavovací služby (příchozí) klikněte na tlačítko Změnit.
Otevře se dialogové okno Koncový bod sestavovací služby.
V části Podrobnosti o koncovém bodu ověřte, zda číslo portu odpovídá údajům konfigurace.
V části Protokol klikněte na možnost HTTPS.
V seznamu Certifikáty SSL zvolte certifikát, který jste nainstalovali a nakonfigurovali pro použití s tímto nasazením, a klikněte na tlačítko OK.
V dialogovém okně Vlastnosti sestavovací služby klikněte na tlačítko Spustit.
Správa vydaných verzí a sady TFS
Je možné nasadit správy vydaných verzí s zcela odlišnou od sady TFS, bez ohledu na to, že používáte pro sady TFS, protokol HTTPS nebo pokud používáte sady TFS vůbec.Nicméně jste se rozhodli nasadit správy vydaných verzí, pokyny pro vytvoření zabezpečené nasazení pro správu vydaných verzí jsou velmi podobné co je nastaven zde pro sady TFS.Velký rozdíl je postup pro správu vydaných verzí webové stránky, které spadá pod vazby protokolu HTTPS.
Nasazovat správy vydaných verzí pomocí protokolu HTTPS, použijte následující seznam úkolů.Pokud budete konfigurace Správa verzí pomocí sady TFS, přeskočte všechny úlohy, které může jste již dokončili pro konfiguraci sady TFS.
Získejte certifikát.Další informace naleznete v tématu získání certifikátu.
Nakonfigurujte Server pro správu verzí použití protokolu HTTPS.V následující části, konfigurovat Release Management Server použití protokolu HTTPS.
Instalaci certifikátu v úložišti Důvěryhodné kořenové z jakéhokoli počítače se systémem Release Management Client nebo nástroje Microsoft Deployment Agent.Další informace naleznete v tématu konfigurace klientských počítačů níže.
Otevřete jakékoli brány firewall.Po instalaci certifikáty, ujistěte se, chcete-li otevřít žádné porty, které jste použili pro přenosy protokolu SSL.Další informace naleznete v tématu nakonfigurovat vaše Brána Firewall.
Test.Na webovém serveru Release Management Server není nakonfigurován pro procházení, tak, že pokud chcete vyzkoušet, zda je k dispozici, by měl připojit se k němu s Release Management Client, připojit agentů, kteří jsou ve vašem prostředí a pak proveďte k uvolnění.Další informace naleznete v tématu vytvářením všechny Správa vydaných verzí připojení prostřednictvím protokolu HTTPS a Správa vydaných verzí.
Konfigurace serveru pro správu verzí použití protokolu HTTPS
Správa verzí podporuje protokol HTTP nebo HTTPS, ale nikoli oba protokoly současně.Pomocí tohoto postupu můžete vytvořit vazbu protokolu HTTPS na web správy vydaných verzí.
V serveru pro správu verzí, vyberte možnost HTTPS, zadejte číslo portu, kterou chcete použít pro provoz HTTPS v webové port službya poté zvolte možnost použít nastavení.
Spusťte Správce Internetové informační služby (IIS).
Rozbalte položku ComputerName, rozbalte položku weby, spusťte příkaz pro správu vydaných verzí webu a poté zvolte možnost vazby z podokna akce.
V okně Vazby webu klikněte na tlačítko Přidat.
V seznamu Typ vyberte možnost https.
Do pole Port zadejte jiné číslo portu.Toto je nezbytné pro dokončení konfigurace číslo portu pouze dočasné.
V certifikátu SSL, zvolte certifikát bude používat a poté zvolte možnost OK a zavřete stránku vazby.
Zobrazí původní vazby HTTP a HTTPS vazby, který jste právě vytvořili.
Vyberte původní vazby HTTP a zvolte odebrat.
Vyberte vazbu HTTPS a zvolte upravit.
Změna Port z dočasné hodnoty jste přidali v kroku 6, chcete-li číslo portu, který jste použili v serveru pro správu vydaných verzí v kroku 1 a pak zvolte OK a Zavřít.
HTTPS portu vazby na web ve službě IIS odpovídá port, který původně zadána do serveru pro správu verzí konfiguračního nástroje pro správu verzí.
Všechny správy vydaných verzí připojení pomocí protokolu HTTPS
Po dokončení instalace certifikátů na všechny počítače se serverem klienta správy vydaných verzí a Microsoft Deployment Agent může připojit k počítačům do serveru pro správu vydaných verzí pomocí protokolu SSL.Pokud je TFS spuštěn HTTPS pomocí protokolu SSL, musíte nakonfigurovat sady TFS připojení pro použití protokolu HTTPS.
Nastavení připojení sady TFS poprvé?Existují některé další kroky a některé požadavky oprávnění účtu.Další informace naleznete v tématu správy vydaných verzí připojit se k TFS
Release Management Client se připojit k serveru pro správu vydaných verzí pomocí protokolu HTTPS
Spusťte klienta správy vydaných verzí.
Tip
Pokud se zobrazí chybová zpráva oznamující, že již máte přístup k serveru, budete moci znovu nainstalovat klienta správy vydaných verzí nebo můžete použít nástroj příkazového řádku tak, aby odkazoval klienta k serveru pomocí nového portu a protokolu.Další informace naleznete v tématu to příspěvku blogu.
Zvolte Správaa poté zvolte možnost nastavení.
V adresa URL serveru pro správu verzí, zvolte upravit.
V konfigurace služeb dialogového okna, vyberte HTTPS a zadejte plně kvalifikovaný název domény a port SSL serveru pro správu verzí a pak zvolte OK.Budete vyzváni k restartování aplikace.
Microsoft Deployment Agent se připojit k serveru pro správu vydaných verzí pomocí protokolu HTTPS
Spusťte Microsoft Deployment Agent.
V Release Management Server, zadejte adresu URL pro Server pro správu verzí a zvolte možnost aplikovat nastavení.Nezapomeňte použít protokol HTTPS, plně kvalifikovaný název domény pro server a port, který je nastavit ve službě IIS.
Připojit k TFS pomocí protokolu HTTPS Release Management Server
Spusťte klienta správy vydaných verzí.
Zvolte Správaa poté zvolte možnost spravovat sady TFS.
Změnu na protokol připojení HTTPS, aktualizujte port (v případě potřeby) a zvolte ověřte.
Konfigurace klientských počítačů
V každém klientském počítači, ze kterého uživatelé přistupují na Team Foundation, musíte místně nainstalovat certifikát a vymazat mezipaměť klienta pro každého uživatele, který na Team Foundation přistupuje z tohoto počítače.V opačném případě se uživatelé nebudou moci z tohoto počítače připojit na Team Foundation.Další informace naleznete v tématu spravovat seznamu Důvěryhodné kořenové certifikáty.
Důležité |
---|
Neprovádějte tento postup u počítačů, na kterých běží Team Foundation Server a jeden nebo více klientů Team Foundation. |
Instalace certifikátu do klientského počítače
Přihlaste se k počítači pomocí účtu, který patří do skupiny Administrators v tomto počítači.
Nainstalujte certifikát do složky důvěryhodných kořenových certifikačních autorit v místním počítači.
Vymazání mezipaměti v klientském počítači
Přihlaste se k počítači pomocí přihlašovacích údajů uživatele, jehož mezipaměť chcete vymazat.
Zavřete všechny otevřené instance sady Visual Studio.
V okně prohlížeče otevřete následující složku:
Jednotka**:\Users\uživatelské jméno\AppData\Local\Microsoft\Team Foundation\4.0\Cache**
Odstraňte obsah adresáře Cache.Odstraňte přitom všechny podsložky.
Klikněte na tlačítko Start, zvolte příkaz Spustit, zadejte příkaz devenv /resetuserdata a klikněte na tlačítko OK.
Opakujte tyto kroky pro účet každého uživatele, který má z tohoto počítače přístup na Team Foundation.
[!POZNÁMKA]
Můžete také rozeslat pokyny k vymazání mezipaměti všem uživatelům Team Foundation, aby si mezipaměť mohli vymazat sami.
Připojení klientských počítačů k nasazení se změněnou konfigurací
V sadě Visual Studio se připojte na Team Foundation Server pomocí nové adresy URL HTTPS.
Další informace naleznete v tématu Připojení k týmovým projektům na serveru Team Foundation Server.
Konfigurace Git
Ve výchozím nastavení se projektům, které používají správu verzí Git, nepodaří ověřit certifikát SSL, který jste nakonfiguroval pro server TFS.Git totiž na rozdíl od serveru TFS a sady Visual Studio nerozpozná úložiště certifikátů Windows.Místo toho používá své vlastní úložiště certifikátů OpenSSL.Abyste pro projekty s nakonfigurovaným protokolem SSL mohli používat úložiště Git, budete muset Git nakonfigurovat pomocí certifikátu v kořeni řetězu certifikátů pro své nasazení serveru TFS 2013.Jedná se o úlohu konfigurace klienta, která se vztahuje pouze na projekty v úložišti Git.
Další informace o tom, jak pracovat Git síťové operace v sadě Visual Studio 2013, naleznete v tématu to příspěvku blogu.
Tip
Pro ostatní Git pověření úloh správy, jako je například ověřování systému Windows, zvažte stažení a instalace úložiště pověření systému Windows pro Git.
Konfigurace úložiště certifikátů pro Git
Přihlaste se k počítači pomocí účtu, který patří do skupiny Administrators v tomto počítači.
Zajistěte, aby byl požadovaný certifikát nainstalován a nakonfigurován v počítači, jak je uvedeno výše.
V podporovaném webovém prohlížeči extrahujte kořenový certifikát TFS jako soubor X.509 CER/PEM s kódováním base64.
Vytvořte soukromou kopii úložiště kořenových certifikátů Git a přidejte ho do své soukromé uživatelské kopie úložiště.
Úplný návod tohoto postupu, včetně snímků obrazovek, naleznete v Philip Kelley blog.
Viz také
Další zdroje
Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)
Team Foundation Server, HTTPS, and Secure Sockets Layer (SSL)