Configurar o HTTPS com Secure Sockets Layer (SSL) para Team Foundation Server

Você pode reforçar a segurança da implantação de Visual Studio Team Foundation Server (TFS) configurando os serviços que usa para utilizar o protocolo de transferência de hypertext Seguros (SSL com protocolo HTTPS) (SSL).Você pode configurar sua implantação ou para exigir que esse protocolo, maximize a segurança da implantação, ou para suportar HTTPS com SSL além do protocolo padrão, HTTP.Antes que você escolha uma configuração, você deve cuidadosamente examinar as vantagens e desvantagens que este tópico.Depois que você identifica a configuração que melhor atender às necessidades de segurança da sua organização, você pode seguir as etapas neste tópico para configurar sua implantação.

Neste tópico

• Informações conceituais

  • Vantagens de suportar HTTPS com SSL além de HTTP

  • Vantagens de exigir HTTPS com SSL para todas as conexões

  • Desvantagens de suportar ou de exigir HTTPS com SSL

  • Pré-requisitos

  • Suposições

• Configuração do servidor

  • Obtendo um certificado

  • Solicitando um certificado

  • Instalando e atribuindo o certificado

  • Configurando o firewall

  • Configurando SQL Server Reporting Services

  • Configurando sua implantação para suportar HTTPS com SSL além de HTTP

• Tarefas de configuração opcionais

  • Testando o acesso à implantação (opcional)

  • Configurando sua implantação para exigir HTTPS com SSL (opcional)

• Configuração de compilação

  • Instalando o certificado em servidores de compilação

  • Atualizando a configuração de compilação

• Configuração do cliente

  1. Configurando computadores cliente

Vantagens de suportar HTTPS com SSL além de HTTP

Se você configurar sua implantação de TFS para suportar ambos os protocolos, os usuários cujos computadores foram configurados para HTTPS com SSL conectarão usando o protocolo, que faz sua implantação mais seguros.Além disso, os usuários cujos computadores estão configurados para HTTP só podem ainda conectar a sua implantação.Embora você não deve implantar essa configuração em redes públicas, você pode obter as seguintes vantagens continuando suportar conexões HTTP em um ambiente de rede controlado:

• Você pode aumentar a segurança da implantação ao longo do tempo configurando computadores cliente para HTTPS com SSL conforme o cronograma permite.Se você tem uma abordagem posta no estágio, você não precisa atualizar ao mesmo tempo, e todos os computadores dos usuários cujos computadores não foram atualizados ainda podem ainda conectar à implantação.

• Você pode facilmente configurar e manter Team Foundation Server.

• Chamadas de um serviço Web para outro sobre HTTP são mais rápidas do que sobre HTTPS com SSL.Como consequência, você pode continuar a suporte conexões HTTP de computadores cliente para que os requisitos de desempenho aumentando os riscos de segurança.

Vantagens de exigir HTTPS com SSL para todas as conexões

Se você precisar HTTPS com SSL para todas as conexões, você obtém as seguintes vantagens:

• Todas as conexões Web entre a camada de aplicativo, a camada de dados, e a camada de cliente para Team Foundation são mais seguros pois requerem certificados.

• Você pode controlar o acesso mais facilmente configurando certificados para expirar quando uma fase de projeto é esperada terminar.

Desvantagens de suportar ou de exigir HTTPS com SSL

Antes que você configure TFS para suportar ou HTTPS com requerer SSL, você deve considerar as seguintes desvantagens:

• Você pode complicar tarefas em progresso de administração do.Por exemplo, você pode ter que reconfigurar sua implantação para parar de suportar HTTPS com SSL antes que você pode aplicar pacotes de serviço ou outro atualizações.

• Você não deve configurar apenas mas também gerenciar uma autoridade de certificação (CA) e confianças de certificado.Você pode usar os serviços de certificado em Windows Server 2003 e em Windows Server 2008, mas você pode não querer investir hora e os recursos que implantar uma infraestrutura seguro (PKI) de chave pública requer.

• Você deve gastar a base e teste significativos de tempo qualquer uma dessas configurações, e a solução de problemas sua implantação será mais difícil.

• Se você continuar a suporte a ambos os protocolos, conexões externos podem não ser criptografadas se a camada de aplicativo para Team Foundation não é protegida adequadamente.

• Se você precisar HTTPS com SSL, o desempenho da sua implantação será mais lento.

Configurando sua implantação para suportar ou HTTPS com requerer SSL

Os procedimentos neste tópico descrevem um processo para solicitar, emita, e atribua os certificados que são necessários para conexões SSL em Team Foundation Server.Se você estiver usando o software diferente do que este tópico descreve, você talvez precise executar etapas diferentes.Conexões externos para oferecer suporte à implantação de TFS, você também deve ativar a autenticação básica, a autenticação Digest, ou ambos em Serviços de Informações da Internet (IIS).

Seguindo os procedimentos deste tópico, você realizará as seguintes tarefas:

1. Obtenha certificados para a implantação de Team Foundation Server e de sites que usam.

2. Instalar e atribuir os certificados.

3. Configurar Team Foundation Server.

4. Configurar Team Foundation Build.

5. Configurar computadores cliente.

Pré-requisitos

Para executar procedimentos neste tópico, você deve primeiro atender aos seguintes requisitos:

• Os componentes lógicos em camadas de dados e de aplicativo de Team Foundation devem ser instalados e operacionais.Essas camadas incluem o IIS, SQL Server, Produtos do SharePoint, Team Foundation Build, e SQL Server reporting services se sua implantação inclui esses componentes.Os procedimentos neste tópico se referem ao servidor ou servidores que estão executando os componentes lógicos na camada de aplicativo para Team Foundation como o servidor de camada de aplicativo para Team Foundation.Os procedimentos neste tópico se referem ao servidor ou servidores que estão executando os componentes lógicos na camada de dados para Team Foundation como o servidor de camada de dados para Team Foundation.As camadas do aplicativo e os dados podem executar no mesmo servidor do servidor ou vários.Para obter mais informações, consulte Instalando o Team Foundation Server e Visual Studio ALM.

• Você deve ter uma autoridade de certificação (CA) de que você pode emitir certificados.Este tópico assume que você está usando serviços de certificado como seu CA, mas você pode usar qualquer CA que você para configurar sua implantação.Se você não tiver uma autoridade de certificação, você pode instalar o certificado e configurar um.Para obter mais informações, consulte o dos seguintes conjuntos de documentação no site da Microsoft:

  • Para Windows Server 2003: Serviços de certificado

  • Para Windows Server 2008: Serviços de certificado do Active Directory e gerenciamento de chave pública

Permissões Necessárias

Para concluir estes procedimentos, você deve pertencer ao grupo de Administradores do Team Foundation , e você deve pertencer ao grupo de Administradores na camada de aplicativo e servidor ou servidores de camada de dados para Team Foundation.Para configurar um servidor de compilação, você deve pertencer ao grupo de Administradores no servidor.Se sua implantação usa Produtos do SharePoint, você deve pertencer ao grupo de Administradores no servidor que hospeda a administração central do SharePoint.Você também deve pertencer ao grupo de Administradores de Farm .Para obter mais informações sobre permissões, consulte Team Foundation Permissões do servidor.

Suposições

Os procedimentos neste tópico pressupõem que as seguintes condições forem verdadeiras:

• A camada de dados e o servidor ou os servidores de camada de aplicativo foram instalados e implantados em um ambiente seguro e configurados de acordo com as práticas de segurança.

• Você é familiarizado com como configurar e gerenciar PKIs e solicitado, emita, e atribuir de certificados.Para obter mais informações, consulte a seguinte página no site da Microsoft: Infraestrutura de chave pública.

• Você tiver um conhecimento trabalhando de topologia de rede do ambiente de desenvolvimento, e você é familiarizado com definir configurações, o IIS, e SQL Serverde rede.

Obtendo um certificado

Antes que você configure TFS para usar HTTPS com SSL, você deve obter e instalar um certificado do servidor para os servidores em sua implantação.Para obter um certificado do servidor, você deve instalar e configurar sua própria autoridade de certificação, você deve usar uma autoridade de certificação de uma organização externo que você confie.

Para obter mais informações sobre como instalar uma autoridade de certificação, consulte o seguinte tópico no site da Microsoft:

• Para Windows Server 2003: Serviços de certificado

• Para Windows Server 2008: Serviços de certificado do Active Directory e gerenciamento de chave pública

Solicitando um certificado

Depois que você inscrever em uma autoridade de certificação, você deve solicitar ou um certificado usando o Gerenciador do IIS, ou você deve instalar manualmente o certificado em cada um dos servidores na implantação do:

• Cada servidor de camada de aplicativo.

• Cada servidor que está executando o proxy de Team Foundation Server , se alguns são configurados para sua implantação.

• Cada servidor que está executando Serviço Team Foundation Build como um controlador de compilação ou um agente de compilação, se alguns são configurados para sua implantação.

• Cada servidor que está executando Produtos do SharePoint, se Produtos do SharePoint é configurado para sua implantação.

• O servidor que está executando o reporting services, se ele é configurado para sua implantação.

Para solicitar um certificado no IIS

1. Escolha IniciarFerramentas administrativas, escolha, e escolha Gerenciador de Serviços de Informações da Internet (IIS).

2. Expanda Sites ou Sites, e navegar para o site que você deseja solicitar um certificado.

   Por exemplo, para solicitar um certificado para um servidor de camada de aplicativo, você navega para Team Foundation Server.Para solicitar um certificado para um servidor proxy, você navega para Proxy de O Team Foundation Server.

3. Siga as instruções apropriados para a versão do IIS para solicitar ou criar um certificado do servidor que localize as necessidades de segurança da sua organização:

   • Se você estiver usando o IIS 7,0, preparar um certificado do servidor para o IIS 7,0, especifica um nome para a solicitação, baixa o certificado, e salve o em um local seguro no seu servidor.

     Para obter mais informações, consulte Configurando certificados do servidor no IIS 7,0.

Instalando e atribuindo o certificado

Antes que você possa usar SSL com TFS, você deve instalar o certificado do servidor em sites que usa de TFS, como sites na lista a seguir:

• O site padrão

• Team Foundation Server

• Proxy de O Team Foundation Server

• Administração Central do SharePoint

Depois de instalar o certificado, você deve explicitamente associá-lo ou atribuir a cada site, permite que os métodos de autenticação que você deseja usar para cada site, e então configurar HTTPS para cada site.

Dependendo de suas configurações de implantação, você talvez precise instalar e configurar o certificado em mais de um computador.Por exemplo, a implantação pode incluir Team Foundation Build e Produtos do SharePoint em um computador diferente do servidor de camada de aplicativo.Nesse caso, você deve instalar e configurar o certificado do servidor não apenas no servidor que hospeda Produtos do SharePoint mas também computadores que hospedam o controlador de compilação e agentes.

Instalando o certificado do servidor

Seguindo estas etapas, você instalará o certificado do servidor ou certificados que você deseja usar para a implantação de TFS.

Para instalar o certificado do servidor em um site

1. No servidor que hospeda o site que deseja configurar, escolha IniciarFerramentas administrativas, escolha, e escolha Gerenciador de Serviços de Informações da Internet (IIS).

2. Execute as etapas apropriadas para sua versão do IIS:

   • Se você estiver usando o IIS 7,0, importar o certificado do servidor do painel de Certificados de Servidor .

     Para obter mais informações, consulte Importar um certificado do servidor (IIS 7).

Ativando métodos de autenticação, ativando HTTPS, e especificando o certificado para sites que usa a implantação

Seguindo estas etapas, você pode configurar os métodos de autenticação que você deseja usar, e você pode habilitar HTTPS no IIS para sites que usa sua implantação.Os seguintes sites podem ser hospedadas em servidores separados.Você deve executar essas etapas em cada site que você configurou no procedimento anterior.

Depois que você configura HTTPS além disso, você pode proteger a implantação removendo HTTP da lista de associações para cada site que você configura.

Dependendo de suas infraestrutura da hierarquia de certificação e a chave pública, você também deve configurar o IIS para autenticação de certificado de cliente.Para obter mais informações, consulte Serviços de certificado e Certificados.

A implantação de Produtos do SharePoint pode exigir a configuração adicional, como mapeamentos alternativas de acesso e autenticação, para que funcionem corretamente, HTTPS com SSL, e os certificados.Para obter mais informações, consulte O que cada administrador do SharePoint precisa saber sobre mapeamentos alternativas de acessoAutenticação de formulários e Tecnologias em Produtos do SharePoint, e o tópico de configuração para sua versão de Produtos do SharePoint:

• Configurar o mapeamento alternativa de acesso (Office SharePoint Server 2007)

• Como: eu faço Configurar um mapeamento alternativa de acesso em SharePoint Server 2010? (vídeo)

Para configurar HTTPS e especifique o certificado

1. No servidor que hospeda o site que deseja configurar, escolha IniciarFerramentas administrativas, escolha, e escolha Gerenciador de Serviços de Informações da Internet (IIS).

2. Execute o conjunto de etapas para sua versão do IIS:

   Para as implantações que usam o IIS 7,0:

   1. Expanda, expanda ComputerNameSites, abra o submenu para o site que deseja configurar, e então escolha Associações de edição.

   2. Em Ligações do Site, escolha Adicionar.

      A caixa de diálogo de Adicionar Ligação do Site aparece.

   3. Na lista de Tipo , escolha https.

      (Opcional.) Em Porta, digite um número de porta diferente.

      Importante

      O número da porta padrão para conexões SSL é 443, mas você deve atribuir um número de porta exclusivo para cada uma das seguintes páginas: O site padrão, o Team Foundation Server, proxy de O Team Foundation Server (se sua implantação o usa), e administração central do SharePoint. Você deve registrar o número da porta de criptografia SSL para cada site que você configura porque você precisará especificar esses números no console de administração do Team Foundation.

      Em Certificado SSL, escolha o certificado que você importou, e então escolha OK.

   4. Em Ligações do Site, escolha Fechar.

   5. Na página de Início para o site que você está configurando, abra o modo de Recursos .

   6. Em IIS, escolha Autenticação.

   7. Escolha um método de autenticação que você deseja configurar, abra o submenu, e escolha em Habilitar, Desativar, Editar para ativar ou desativar, ou executar a configuração adicional no método.

Configurando o firewall

Você deve configurar o firewall para permiti-lo a tráfego através das portas SSL que especificou apenas no IIS.Para obter mais informações, consulte a documentação do firewall.

Configurar o SQL Server Reporting Services

Se sua implantação usar o relatório, deverá configurar SQL Server reporting services para suportar HTTPS com SSL e para usar a porta que você especificou no IIS para Team Foundation Server.Caso contrário, o servidor de relatório não funcionará corretamente para sua implantação.Para obter mais informações, consulte Configurando um servidor de relatório para conexões secure sockets layer (SSL).

Dica
Se sua implantação não usar o relatório, você pode ignorar o procedimento.

Configurando sua implantação

Siga estas etapas para configurar sua implantação com as portas e os valores HTTPS que você configurou no IIS para a opção e sites de Team Foundation Server .

Para reconfigurar o Team Foundation Server

1. Abra o console de administração do Team Foundation.

   Para obter mais informações, consulte Abra o Console de administração do Team Foundation.

2. Em Team Foundation, expanda o nome do servidor, e então escolha Camada de Aplicativo.

3. Em Resumo de camada de aplicativo, escolha URL de alteração.

   A janela de Modificar urls abre.

4. Em URL da notificação, digite a URL HTTPS que você configurou para o site do Team Foundation Server no IIS.

   Por exemplo, você pode ter configurado um site para usar a porta 443.Nesse caso, você digita https://ServerName: 443/tfs.Certifique-se que você usa o Fully Qualified domínio totalmente em vez do servidor host local.

5. TestarEscolha, e escolha OK se o teste passa.

6. Para exigir HTTPS, escolha Use em URL do Servidor, e então digite o URL HTTPS que você configurou para o site do Team Foundation Server.

   Certifique-se que você usa o Fully Qualified domínio totalmente em vez do servidor host local.

7. TestarEscolha, e escolha OK se o teste passa.

8. Abra o arquivo web.config para o Team Foundation Server em qualquer editor de texto sem formatação, como o Bloco De Notas.Por padrão, esse arquivo está localizado no seguinte diretório: camada de %PROGRAMFILES% \ Microsoft Team Foundation Server 11,0 \ application data \ Message Queue \ web.config.

9. Remova os seguintes pontos de extremidade do arquivo:

   <!-- An empty relative address means the endpoint will pick up the base address of the svc file -->

   <endpoint address=""

   binding="customBinding"

   bindingConfiguration="TfsSoapBinding"

   contract="Microsoft.TeamFoundation.Framework.Server.WebServices.MessageQueueWebService" />

   <!-- An empty relative address means the endpoint will pick up the base address of the svc file -->

   <endpoint address=""

   binding="customBinding"

   bindingConfiguration="TfsSoapBinding"

   contract="Microsoft.TeamFoundation.Framework.Server.WebServices.MessageQueueWebService2" />

10. Navegar para a seção de <system.serviceModel> , e adicione os seguintes mapeamentos de protocolo:

    <protocolMapping>

    <remove scheme="http" />

    <add scheme="http" binding="customBinding" bindingConfiguration="TfsSoapBinding"/>

    <add scheme="https" binding="customBinding" bindingConfiguration="TfsSoapBindingHttps"/>

    </protocolMapping>

11. Na seção de <system.serviceModel> , adicione a seguinte <customBinding>a associação:

    <binding name="TfsSoapBindingHttps">

    <textMessageEncoding messageVersion="Soap12WSAddressing10" />

    <httpsTransport authenticationScheme="IntegratedWindowsAuthentication" manualAddressing="true" />

    </binding>

12. Salve e feche o arquivo.

13. Se sua implantação usa Produtos do SharePoint, escolha Aplicativos Web do SharePoint no console de administração.

14. Em Aplicativos Web do SharePoint, na lista de Nome um aplicativo web, escolha, e escolha Alterar.

    A página de Configurações de aplicativo Web do SharePoint aparece.

15. Em URL do Aplicativo Web, altere o URL para o valor HTTPS para o aplicativo.

16. Em URL da Administração Central, altere a URL para o valor HTTPS para o site de administração central.

17. (Opcional) em Nome amigável, altere o valor para refletir o endereço HTTPS deste aplicativo.

18. Escolha OK.

19. Repita as cinco etapas anteriores para cada aplicativo web do SharePoint em sua implantação.

20. Se sua implantação usa o reporting services, no console de administração Relatório, escolha.

21. Em Relatório, escolha Editar.

    Se a caixa de diálogo de Colocar Offline abre, escolha OK.

    A janela de Relatório abre.

22. Escolha a guia de Relatório .Na URL para o servidor de relatório, digite o URL HTTPS para Serviço da Web e Gerenciador de Relatórios, e então escolha OK.

Testar o acesso à implantação (opcional)

Você pode testar se suas alterações estão funcionando como você espera.Essa etapa é opcional mas recomendado.

Para testar o acesso à implantação

1. No servidor que hospeda a camada de aplicativo, abra um navegador da web.

2. Na barra de endereços, digite a URL que você usa para se conectar à implantação com Team Web Access.

   Observação
   Você pode localizar este URL no nó de camada de aplicativo no console de administração do Team Foundation.

3. Verifique se você possa acessar seus projetos e coleções de projeto de equipe Team Web Access.

4. Se você não pode acessar sua implantação com Team Web Access, revise as etapas que você concluiu apenas, e certifique-se de que você fez todas as alterações de configuração corretamente.

Configurando sua implantação para exigir HTTPS com SSL (opcional)

Você pode solicitar todas as conexões a sua implantação usar HTTPS com SSL.Essa segurança adicional é opcional mas recomendado.

Para exigir conexões SSL

1. No servidor que hospeda o site que deseja configurar, escolha IniciarFerramentas administrativas, escolha, e escolha Gerenciador de Serviços de Informações da Internet (IIS).

2. Siga as etapas apropriadas para sua versão do IIS:

   Para as implantações que usam o IIS 7,0:

   1. ComputerNameSitesexpanda, expanda, e depois escolha o site que deseja configurar.

   2. Na página inicial do site, escolha Configurações de SSL.

   3. No painel de Configurações de SSL , selecione a caixa de seleção de Exigir SSL .

      (Opcional) marque a caixa de seleção de Exigir SSL de 128 bits .

   4. Em Certificados de cliente, escolha Ignorar, Aceitar, ou Requisitar, dependendo dos requisitos de segurança da implantação.

   5. Em Ações, escolha Aplicar.

   6. Repita essas etapas para cada site que você deseja requerer SSL.

Instalando o certificado em servidores de compilação

Se você instalou Serviço Team Foundation Build em um ou vários servidores, você deve instalar o certificado no armazenamento de confiança de autoridades de certificação raiz de cada servidor.Para obter mais informações, consulte Obtendo um certificado e Instalando e atribuindo o certificado anteriormente neste tópico.O controlador e o agente requerem um certificado com uma chave particular com que se para identificar as conexões HTTPS.

Observação
Para executar compilações sobre SSL, o certificado deve ser instalado no armazenamento de confiança raiz no controlador de compilação e no agente de compilação.

Atualizando configurações de compilação

Para configurar Team Foundation Build para conexões SSL, você deve configurar o serviço de compilação para usar o URL HTTPS que você configurou para a camada de aplicativo e a coleção que a configuração de compilação oferece suporte.Você deve configurar este URL para cada configuração de compilação em sua implantação.

Para alterar uma configuração de compilação para usar HTTPS

1. No servidor que hospeda a configuração de compilação que você deseja configurar, abra o console de administração do Team Foundation.

2. Em Team Foundation, expanda o nome do servidor, e então escolha Configuração da compilação.

   O painel de Configuração da compilação aparece.

3. Na configuração de serviço Parar, escolha, e escolha Propriedades.

   A caixa de diálogo de Criar propriedades de serviço abre.

4. Em Comunicações, certifique-se de que o URL para a coleção de projeto de equipe estiver usando o endereço HTTPS e o nome completo do servidor correto.

5. No Ponto final de serviço local de compilação (de entrada), escolha Alterar.

   A caixa de diálogo de Compile o ponto final de serviço abre.

6. Em Detalhes de ponto de extremidade, verifique se o número da porta corresponde aos detalhes de configuração.

7. Em Protocolo, escolha HTTPS.

8. Na lista de Certificados SSL , escolha o certificado instalado e configurado para uso com essa implementação, e então escolha OK.

9. Na caixa de diálogo de Criar propriedades de serviço , escolha Iniciar.

Configurando computadores cliente

Em cada computador cliente de que o acesso de usuários Team Foundation, você deve instalar o certificado localmente e desmarque o cache de cliente para qualquer usuário que acessar Team Foundation do computador.Caso contrário, os usuários poderão se conectar a Team Foundation do computador.Para obter mais informações, consulte Gerenciar certificados de confiança raiz.

Importante
Não segue este procedimento para computadores que estão executando Team Foundation Server e um ou mais clientes de Team Foundation.

Para instalar o certificado em um computador cliente

1. Efetuar o logon para o computador usando uma conta que pertence ao grupo de Administradores no computador.

2. Instalar o certificado na pasta de confiança de autoridades de certificação raiz para o computador local.

   Para obter mais informações, consulte a documentação do sistema operacional e a autoridade de certificação.

Para limpar o cache em um computador cliente

1. Efetuar o logon para o computador usando as credenciais do usuário cujo cache que você deseja desmarque.

2. Feche instâncias abertas de Visual Studio.

3. Em uma janela do navegador, abra a pasta a seguir:

   Unidade**:\Users\Nome do Usuário\AppData\Local\Microsoft\Team Foundation\4.0\Cache**

4. Exclua o conteúdo do diretório do cache.Certifique-se de que você exclui todas as subpastas.

5. Escolha Iniciar, escolha Executar, digite devenv /resetuserdata, e então escolha OK.

6. Repita essas etapas para a conta de cada usuário que acessou Team Foundation do computador.

   Observação
   Você pode desejar distribuir instruções para limpar o cache para todos os usuários de Team Foundation para que possam limpar os caches para se.

Para se conectar a computadores cliente implantação reconfigurada

• Em Visual Studio, se conectar a Team Foundation Server usando o novo URL HTTPS.

  Para obter mais informações, consulte Conectar-se a projetos de equipe no Team Foundation Server.

Consulte também

Outros recursos

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)

Team Foundation Server, HTTPS, and Secure Sockets Layer (SSL)