Настройка протокола HTTPS с SSL для Team Foundation Server

Чтобы повысить безопасность развертывания Visual Studio Team Foundation Server (TFS), можно настроить для него использование протокола HTTPS с SSL. Можно настроить требование этого протокола, чтобы обеспечить максимальную безопасность развертывания, или поддержку HTTPS с SSL в дополнение к протоколу по умолчанию, HTTP. При использовании Release Management для Visual Studio 2013 этот компонент также можно настроить для использования HTTPS с SSL, однако конфигурация с поддержкой HTTP и HTTPS с SSL для него недоступна.

Перед выбором конфигурации изучите преимущества и недостатки, описанные ниже. Определив конфигурацию, максимально соответствующую потребностям организации в области безопасности, выполните описанные в данном разделе шаги по настройке развертывания.

Содержание раздела

• Концептуальные сведения

  • Преимущества поддержки HTTPS с SSL в дополнение к HTTP

  • Преимущества требования HTTPS с SSL для всех подключений

  • Недостатки поддержки или требования HTTPS с SSL

  • Предварительные требования

  • Допущения

• Конфигурация сервера

  • Получение сертификата

  • Запрос, установка и настройка веб-сайтов с использованием сертификата

  • Настройка брандмауэра

  • Настройка службы отчетов SQL Server

  • Настройка HTTPS для TFS

• Необязательные задачи настройки

  • Проверка доступа к развертыванию (необязательно)

  • Настройка развертывания на требование HTTPS с SSL (необязательно)

• Конфигурация построения

  • Установка сертификата на серверах построения

  • Обновление конфигурации построения

• Настройка Release Management

  • Release Management и TFS

  • Настройка Release Management Server для использования HTTPS

  • Настройка HTTPS для всех подключений Release Management

• Конфигурация клиента

  1. Настройка клиентских компьютеров

  2. Конфигурация репозитория Git

     1. Настройка Git для использования сертификатов

Преимущества поддержки HTTPS с SSL в дополнение к HTTP

Если развертывание TFS настроено на поддержку обоих протоколов, пользователи, чьи компьютеры настроены на использование HTTPS с SSL, будут подключаться с использованием этого протокола, что делает развертывание более безопасным. Кроме того, пользователи, чьи компьютеры настроены на поддержку только протокола HTTP, по-прежнему могут подключаться к развернутой системе. Хотя подобная конфигурация не подходит для общедоступных сетей, продолжая поддерживать HTTP-подключения в контролируемой сетевой среде, вы получаете следующие преимущества:

• Со временем можно повысить безопасность развертывания, настраивая клиентские компьютеры на поддержку HTTPS с SSL в удобном темпе. Поэтапный подход устраняет необходимость одновременного обновления всех компьютеров, а пользователи, чьи компьютеры еще не были обновлены, могут по-прежнему подключаться к развернутой системе.

• Это облегчает настройку и обслуживание Team Foundation Server.

• Вызовы одной веб-службы другой быстрее пересылаются по протоколу HTTP, чем по протоколу HTTPS с SSL. Следовательно, на клиентских компьютерах, на которых производительность важнее безопасности, можно продолжать поддерживать подключения HTTP.

Преимущества требования HTTPS с SSL для всех подключений

Требование протокола HTTPS с SSL для всех подключений обеспечивает следующие преимущества:

• Все веб-подключения между уровнем приложений, уровнем данных и клиентским уровнем Team Foundation являются более безопасными, поскольку требуют сертификаты.

• Этот подход облегчает контроль доступа, потому что можно настроить истечение срока действия сертификатов в соответствии с ожидаемой датой окончания фазы проекта.

Недостатки поддержки или требования HTTPS с SSL

Перед настройкой TFS на поддержку или обязательное использование HTTPS с SSL необходимо проанализировать и учесть следующие недостатки:

• Возможно, усложнятся текущие административные задачи. Например, возможно, придется изменить конфигурацию развернутой системы, прекратив поддержку HTTPS с SSL перед применением пакетов обновлений или других обновлений.

• Необходимо не только настраивать центры сертификации и доверия сертификатов, но и управлять ими. Можно использовать службы сертификации в Windows Server 2003 и Windows Server 2008, но может быть нежелательно вкладывать время и ресурсы в развертывание инфраструктуры защищенных открытых ключей (PKI).

• Необходимо тратить много времени на настройку и тестирование любой из этих конфигураций, что усложняет устранение неполадок в развертывании.

• Если поддерживать оба протокола и далее, внешние подключения могут оставаться нешифрованными, если уровень приложений в Team Foundation не защищен должным образом.

• Требование HTTPS с SSL ухудшает производительность развертывания.

Настройка развертывания для поддержки или требования HTTPS с SSL (необязательно)

Процедуры в данном разделе описывают единый процесс запроса, выдачи и назначения сертификатов, необходимых для SSL-подключений в TFS. Если используются отличные от описанных в данном разделе решения, возможно, потребуется выполнить другие шаги. Для поддержки внешних подключений к развертыванию TFS необходимо также включить базовую аутентификацию, дайджест-аутентификацию или оба вида аутентификации в службах IIS.

В данном разделе приводятся инструкции по решению следующих задач:

1. Получение сертификатов для развертывания Team Foundation Server и используемых сервером веб-сайтов.

2. Установка и назначение сертификатов.

3. Настройка Team Foundation Server.

4. Настройка Team Foundation Build.

5. Настройка Release Management для Visual Studio 2013

6. Настройка клиентских компьютеров.

Предварительные требования

Для выполнения описанных в этом разделе процедур необходимо удовлетворить следующие требования:

• Должны быть установлены логические компоненты в уровнях данных и приложений Team Foundation, хотя в случае самого сервера TFS, их настройка необязательна. К этим уровням относятся IIS, SQL Server и все дополнительные компоненты, которые могли быть интегрированы, например Продукты SharePoint, Team Foundation Build, Release Management и SQL Server Reporting Services.

  Процедуры, описанные в данном разделе, относятся к серверу или серверам, выполняющим логические компоненты на уровне приложений для Team Foundation и на уровне данных для Team Foundation. Уровни приложений и данных могут существовать на одном или разных серверах, как описано в разделе Руководство по установке Team Foundation Server.

• Необходимо наличие центра сертификации (CA), который может выдавать сертификаты, или подписки на сторонний центр сертификации в цепи доверия. В данном разделе имеется в виду, что в качестве центра сертификации используются службы сертификации, но на практике можно использовать любой центр сертификации, настроенный для имеющегося развертывания, а также сертификаты, выданные доверенным сторонним центром сертификации. При отсутствии центра сертификации можно установить и настроить службы сертификации. Дополнительные сведения см. в одном из следующих документов на веб-сайте Майкрософт:

  • Для Windows Server 2012: Обзор служб сертификатов Active Directory

  • Для Windows Server 2008: Active Directory Certificate Services and Public Key Management (Службы сертификатов Active Directory и управление открытыми ключами)

Необходимые разрешения

Чтобы настраивать поддержку HTTPS и SSL во всех компонентах развертывания, необходимо быть администратором. При работе в распределенном развертывании, где права администраторов отдельных компонентов, например SharePoint, находятся у разных людей необходимо координироваться с этими людьми для завершения настройки.

В частности, необходимо входить в состав группы Администраторы Team Foundation и группы Администраторы на серверах уровня приложений, уровня данных и прокси-сервере TFS или серверах Team Foundation. Для настройки сервера построений необходимо входить в состав группы Администраторы на этом сервере. Для настройки Release Management необходимо быть членом группы Администраторы на сервере, на котором размещается Release Management Server, и роли Диспетчер выпусков в Release Management. Если в развертывании используется Продукты SharePoint, необходимо входить в состав группы Администраторы на сервере, на котором размещен Центр администрирования SharePoint. Кроме того, необходимо входить в состав группы Администраторы фермы. Если в развертывании используются отчеты, необходимо быть членом группы безопасности администрирования или иметь эквивалентные разрешения, отдельно заданные для настройки служб отчетов. Дополнительные сведения о разрешениях см. в разделе Справочник по разрешениям Team Foundation Server.

Допущения

Процедуры в данном разделе описаны исходя из того, что соблюдаются следующие условия:

• Сервер или серверы уровня данных и уровня приложений установлены и развернуты в безопасной среде и настроены в соответствии с рекомендациями безопасности.

• Компонент Release Management для Visual Studio 2013 установлен.

• Пользователь знаком с настройкой инфраструктуры открытого ключа и управлением этой инфраструктурой, а также с процедурами запроса, выпуска и назначения сертификатов.

• Пользователь понимает принципы функционирования топологии сети в среде разработки и знаком с настройкой параметров сети, IIS и SQL Server.

Получение сертификата

Перед настройкой TFS на использование HTTPS с SSL необходимо получить и установить сертификат сервера для серверов в развертывании. Чтобы получить сертификат сервера, необходимо установить и настроить собственный центр сертификации или использовать центр сертификации из доверенной внешней организации (сторонние сертификаты).

Дополнительные сведения об установке центра сертификации см. в следующих разделах на веб-сайте Майкрософт:

• Для Windows Server 2012: Развертывание двухуровневой иерархии инфраструктуры открытых ключей служб сертификации Active Directory

• Для Windows Server 2008: Active Directory Certificate Services and Public Key Management (Службы сертификатов Active Directory и управление открытыми ключами)

Запрос, установка и настройка веб-сайтов с использованием сертификата

После регистрации в списке центра сертификации необходимо либо запросить сертификат с помощью диспетчера служб IIS, либо вручную установить сертификат на каждом из следующих серверов развертывания:

• Каждый сервер уровня приложений.

• Каждый сервер под управлением прокси-сервера Team Foundation Server, если таковые настроены для развертывания.

• Каждый сервер под управлением Служба построения Team Foundation в качестве контроллера построений или агента построения, если таковые настроены для развертывания.

• Каждый сервер, на котором выполняется Release Management Server, или любой сервер¹ в среде выпуска, на котором выполняется агент развертывания, если Release Management является частью развертывания.

• Каждый сервер с Продукты SharePoint, если Продукты SharePoint настроен для развертывания.

  Примечание

  Настройка сайта SharePoint для использования протокола HTTPS и сертификатов часто требует дополнительных действий, таких как настройка альтернативных сопоставлений доступа и настройка инфраструктуры проверки подлинности.Дополнительные сведения см. в последней документации SharePoint для версии вашего продукта.

• Сервер под управлением служб отчетов, если таковой настроен для развертывания.

Кроме того, клиентских компьютерах в развертывании должна быть зарегистрированы в цепи сертификатов и запрашивать необходимый сертификат. Если используется Release Management, к ним относятся все компьютеры, на которых выполняется клиент Release Management, а также все компьютеры¹ в средах выпуска, на который выполняется агент развертывания. Если один или несколько проектов используют Git в качестве системы управления версиями, то пользователи в этих проектах также должны настроить Git на своих компьютерах для распознавания и использовать сертификата клиента. Сведения о том, как запросить сертификат клиента в указанном центре сертификации, см. в документации этого центра сертификации.

¹ Клиенты и серверы указываются здесь по отдельности, но это просто особенность данного документа. На всех компьютерах, на которых выполняется агент развертывания, должны быть установлены сертификаты.

1. Откройте Диспетчер служб IIS.

2. Разверните сервер, выберите Сертификаты сервера и создайте и выполните запрос сертификата.

   

   

   Дополнительные сведения см. в статье Настройка сертификатов сервера в IIS.

3. Импортируйте сертификат.

4. Теперь необходимо настроить соответствующие параметры для каждого веб-сайта, который требует наличия этого сертификата (за исключением веб-сайта Release Management, который вы настроите позже). В частности это необходимо сделать для каждого из следующих веб-сайтов.

   • Веб-сайт по умолчанию

   • Team Foundation Server

   • Прокси-сервер Microsoft Team Foundation Server (если используется в развертывании).

   • Центр администрирования SharePoint (если в развертывании используется SharePoint).

   На каждом сервере, на котором размещен веб-сайт, который нужно настроить, откройте Диспетчер служб IIS (IIS).

5. Разверните узел ИмяКомпьютера, разверните узел Сайты, откройте меню веб-сайта, который нужно настроить (например, Team Foundation Server), а затем выберите на панели действий пункт Привязки.

   

6. В диалоговом окне Привязки сайта выберите Добавить.

   Откроется диалоговое окно Добавление привязки сайта.

7. В списке Тип выберите https.

   В поле Порт введите другой номер порта.

   Важно!

   Номер порта по умолчанию для подключений SSL — 443, но необходимо присвоить уникальный номер порта для каждого из следующих сайтов: веб-сайт по умолчанию, сервер Team Foundation Server, прокси-сервер Microsoft Team Foundation Server (если используется в развертывании) и Центр администрирования SharePoint (если в развертывании используется SharePoint).

   Для каждого настраиваемого веб-сайта необходимо записать номер порта SSL.Эти номера потребуется указать в консоли администрирования для Team Foundation.

   В поле Сертификат SSL выберите импортированный сертификат, а затем нажмите кнопку ОК и закройте страницу привязок.

   

8. На странице Домашняя страница настраиваемого веб-сайта откройте представление Компоненты.

9. В разделе IIS выберите Аутентификация.

10. Выберите метод аутентификации, который требуется настроить, откройте его меню, а затем включите, отключите или выполните дополнительную настройку метода в соответствии со своими требованиями к безопасности. Например, если требуется отключить анонимную аутентификацию, выберите метод «Анонимная аутентификация» и в меню действий выберите команду «Отключить».

    

11. После завершения настройки перезапустите веб-службы.

Настройка брандмауэра

Необходимо настроить брандмауэр так, чтобы разрешить прохождение трафика через только что заданные в IIS порты SSL. Дополнительные сведения см. в документации вашего брандмауэра.

Важно!

Не забудьте протестировать трафик через порты, настроенные с другого компьютера.Если доступ к веб-сайту по умолчанию или к Team Web Access невозможен, проверьте параметры портов, заданные для этих веб-сайтов в IIS и убедитесь, что межсетевой экран настроен правильно и пропускает трафик через эти порты.

Настройка службы отчетов SQL Server

Если в развертывании используются отчеты, необходимо настроить службы отчетов SQL Server на поддержку HTTPS с SSL и использование заданного в IIS порта для Team Foundation Server. В противном случае сервер отчетов не будет работать в развертывании надлежащим образом. Дополнительные сведения см. в статье Настройка соединений SSL для сервера отчетов.

Совет

Если отчеты в развертывании не используются, эту процедуру можно пропустить.

Настройка HTTPS для TFS

Выполните следующие действия, чтобы настроить развертывание TFS с портами HTTPS и значениями, настроенными в IIS для веб-сайтов по умолчанию и веб-сайтов Team Foundation Server.

Повторная настройка Team Foundation Server для использования или требования HTTPS

1. Откройте консоль администрирования Team Foundation и перейдите к узлу уровня приложений.

2. В разделе Сводка уровня приложений выберите команду Изменение URL-адресов.

   Откроется окно Изменение URL-адресов.

3. В поле URL-адрес уведомлений введите URL-адрес HTTPS, настроенного в IIS для веб-сайта Team Foundation Server.

   Например, веб-сайт был настроен на использование порта 444. В этом случае нужно ввести https://ИмяСервера:444/tfs. Убедитесь, что вместо имени localhost используется полное доменное имя сервера.

   

4. Выберите Тест. Не нажимайте кнопку ОК, пока тест не будет пройден. Вернитесь и убедитесь, что указаны правильные URL-адреса и порты, что все межсетевые экраны пропускают трафик через эти порты и что сайт доступен и на нем запущен диспетчере IIS.

5. Чтобы потребовать использования HTTPS, выберите Использовать в поле URL-адрес сервера и введите URL-адрес HTTPS, настроенный для веб-сайта Team Foundation Server.

   Убедитесь, что вместо имени localhost используется полное доменное имя сервера.

6. Выберите Тест, а затем, если тест пройден, нажмите кнопку ОК.

7. Если в развертывании используется Продукты SharePoint, в консоли администрирования выберите Веб-приложения SharePoint. В противном пропустите следующие шесть шагов.

8. В списке Имя раздела Веб-приложения SharePoint выберите веб-приложение и выберите Изменить.

   Откроется страница Параметры веб-приложения SharePoint.

9. В поле URL-адрес веб-приложения замените URL-адрес значением HTTPS для данного приложения.

10. В поле URL-адрес Центра администрирования замените URL-адрес значением HTTPS для веб-сайта Центра администрирования.

11. (Не обязательно) Измените значение в поле Понятное имя, чтобы оно отражало HTTPS-адрес данного приложения.

12. Нажмите кнопку ОК.

13. Повторите предыдущие пять шагов для каждого веб-приложения SharePoint в развертывании.

14. Если в развертывании используются службы отчетов, в консоли администрирования выберите Отчеты. В противном пропустите оставшуюся часть этой процедуры.

15. В окне Отчеты выберите Изменить.

    Если открывается диалоговое окно Перейти в режим «вне сети», нажмите кнопку ОК.

    Откроется окно Отчеты.

16. Перейдите на вкладку Отчеты. В поле URL-адреса для сервера отчетов введите URL-адреса HTTPS для элементов Веб-служба и Диспетчер отчетов, а затем нажмите кнопку ОК.

Проверка доступа к развертыванию

Необходимо проверить, функционируют ли внесенные изменения надлежащим образом. Данный шаг не является обязательным, но его рекомендуется выполнить.

Проверка доступа к развертыванию

1. На компьютере, на котором не размещено приложение, откройте веб-браузер и перейдите на домашнюю страницу команды.

2. Проверьте наличие доступа к командам и проектам из Team Web Access, включая страницы администрирования.

3. Если не удается получить доступ к развертыванию с помощью Team Web Access, проанализируйте все только что выполненные шаги и убедитесь, что все изменения конфигурации внесены правильно.

Настройка развертывания на требование HTTPS с SSL (необязательно)

Можно потребовать, чтобы во всех подключениях к приложению TFS, использовался протокол HTTPS с SSL. Рекомендуется принять эту дополнительную меру обеспечения безопасности, однако она не является обязательной.

Требование подключений SSL

1. На сервере, на котором размещен настраиваемый веб-сайт, последовательно выберите Пуск, Администрирование и Диспетчер служб IIS.

2. Выполните следующие шаги в зависимости от используемой версии IIS:

   Для развертываний с использованием IIS 7.0:

   1. Последовательно разверните узлы ИмяКомпьютера и Веб-сайты, а затем выберите веб-сайт, который требуется настроить.

   2. На домашней странице этого веб-сайта выберите Параметры SSL.

   3. В области Параметры SSL установите флажок Требуется SSL.

      (Необязательно) Установите флажок Требуется 128-разрядный SSL.

   4. В поле Сертификаты клиента выберите Пропустить, Принять или Запросить в зависимости от требований безопасности развертывания.

   5. В поле Действия выберите Применить.

   6. Повторите эти шаги для каждого веб-сайта, для которого необходимо требовать SSL.

Установка сертификата на серверах построения

Если Служба построения Team Foundation установлена на одном или нескольких серверах, необходимо установить сертификат в хранилище доверенного корневого центра сертификации каждого сервера. Дополнительные сведения см. в подразделах Получение сертификата и Запрос, установка и настройка веб-сайтов с использованием сертификата выше в данном разделе. И контроллер, и агент требуют сертификат с закрытым ключом, с которым они могли бы идентифицироваться в HTTPS-подключениях.

Примечание

Чтобы выполнять построения с использованием протокола SSL, сертификат должен быть установлен в доверенном корневом хранилище в контроллере построений и агенте построения.

Обновление конфигураций построения

Для настройки Team Foundation Build на использование SSL-подключений необходимо настроить службу построений на использование URL-адреса HTTPS, заданного для уровня приложений, и коллекцию, поддерживаемую конфигурацией построения. Необходимо настроить данный URL-адрес для каждой конфигурации построения в развертывании.

Изменение конфигурации построения для использования HTTPS

1. Откройте консоль администрирования Team Foundation на сервере, на котором размещена конфигурация построения, которую требуется настроить.

2. В разделе Team Foundation разверните имя сервера и выберите Конфигурация сборки.

   Откроется область Конфигурация построения.

3. В разделе конфигурации службы выберите Остановить, а затем выберите Свойства.

   Открывается диалоговое окно Свойства службы построений.

4. В разделе Связь проверьте, что в URL-адресе коллекции командных проектов используется правильный HTTPS-адрес и полное имя сервера.

5. В поле Конечная точка локальной службы сборки (входящая) выберите Изменить.

   Откроется диалоговое окно Конечная точка службы построения.

6. В разделе Сведения о конечной точке проверьте, что номер порта соответствует сведениям о конфигурации.

7. В поле Протокол выберите HTTPS.

8. В списке Сертификаты SSL выберите сертификат, установленный и настроенный для использования с данным развертыванием, а затем нажмите кнопку ОК.

   

9. В диалоговом окне Свойства службы сборок выберите Запуск.

Release Management и TFS

Можно развернуть Release Management с HTTPS совершенно отдельно от TFS, независимо от протокола, используемого для TFS, и вообще от использования TFS. Какой бы способ вы ни выбрали для развертывания Release Management, инструкции по созданию безопасного развертывания для Release Management очень похожи на приведенные здесь инструкции для TFS. Основное различие процедур заключается в привязке протокола HTTPS к веб-сайту Release Management (рассматривается ниже).

Ниже приведен список задач для развертывания Release Management с HTTPS. Если выполняется развертывание Release Management с TFS, пропустите задачи, которые вы, возможно, уже выполнили при настройке TFS.

1. Получите сертификат. Дополнительные сведения см. в разделе Получение сертификата.

2. Настройте Release Management Server для использования HTTPS. См. следующий раздел, Настройка Release Management Server для использования HTTPS.

3. Установите сертификат в доверенном корневом хранилище любого компьютера, на котором выполняется клиент Release Management Client или агент Microsoft Deployment Agent. Дополнительные сведения см. в разделе Настройка клиентских компьютеров ниже.

4. Откройте все брандмауэры. После установки сертификатов откройте все порты, которые используются для трафика SSL. Дополнительные сведения см. в разделе Настройка брандмауэра.

5. Выполните проверку. Веб-сайт для Release Management Server не поддерживает доступ с помощью браузера, поэтому, чтобы проверить его доступность, необходимо подключиться к нему с помощью клиента Release Management Client, выполнить подключение агентов в среде, а затем выполнить выпуск. Дополнительные сведения см. в разделе Настройка HTTPS для всех подключений Release Management и статье Управление выпусками.

Настройка Release Management Server для использования HTTPS

Release Management одновременно поддерживает только один протокол, HTTPS или HTTP. Используйте эту процедуру, чтобы привязать протокол HTTPS к веб-сайту Release Management.

1. В Release Management Server выберите HTTPS, введите номер порта, который будет использоваться для трафика HTTPS в поле Порт веб-службы, а затем выберите Применить параметры.

   

2. Откройте Диспетчер служб IIS.

3. Последовательно разверните узлы ИмяКомпьютера и Сайты, откройте подменю для веб-сайта Release Management, а затем выберите на панели действий пункт Привязки.

4. В диалоговом окне Привязки сайта выберите Добавить.

5. В списке Тип выберите https.

6. В поле Порт введите другой номер порта. Это временный номер порта, необходимый для выполнения настройки.

   

7. В поле Сертификат SSL выберите сертификат, который предполагается использовать, а затем нажмите кнопку ОК и закройте страницу привязок.

   На экран будет выведена исходная привязка HTTP и только что созданная привязка HTTPS.

8. Выберите исходную привязку HTTP и нажмите кнопку Удалить.

9. Выберите привязку HTTPS и нажмите кнопку Изменить.

10. В поле Порт замените временное значение, добавленное в шаге 6, на номер порта, который вы использовали для Release Management Server в шаге 1, а затем нажмите кнопки ОК и Закрыть.

    

    Привязка порта HTTPS на веб-сайте Release Management в службах IIS соответствует номеру порта, который вы изначально ввели в средстве настройки Release Management Server.

    

Настройка HTTPS для всех подключений Release Management

После установки сертификатов на все компьютеры, на которых выполняются Release Management Client и Microsoft Deployment Agent, можно подключить их к Release Management Server по протоколу SSL. Если в TFS используется протокол HTTPS с SSL, необходимо настроить использование HTTPS для подключений TFS.

Впервые настраиваете подключение TFS? Вам потребуется выполнить некоторые дополнительные действия и настроить разрешения для учетной записи. Дополнительные сведения см. в статье Подключение Release Management к TFS

Подключение клиента Release Management Client к Release Management Server с помощью протокола HTTPS

1. Запустите Release Management Client.

   Совет

   Если появится сообщение об ошибке, уведомляющее, что у вас больше нет доступа к серверу, можно переустановить клиент Release Management Client или воспользоваться программой командной строки, чтобы указать клиенту на сервер, используя новый порт и протокол.Дополнительные сведения см. в этой публикации блога.

2. Выберите Администрирование, а затем Параметры.

3. В окне URL-адрес сервера Release Management Server выберите Изменить.

4. В диалоговом окне Настройка служб выберите HTTPS и введите полное доменное имя и порт SSL сервера Release Management Server, а затем нажмите кнопку ОК. Вам будет предложено перезапустить приложение.

Подключение агента Microsoft Deployment Agent к Release Management Server с помощью протокола HTTPS

1. Запустите агент Microsoft Deployment Agent.

2. В поле Release Management Server введите URL-адрес для Release Management Server и нажмите кнопку Применить параметры. Помните, что необходимо использовать протокол HTTPS, полное доменное имя для сервера и номер порта, настроенный в службах IIS.

Подключение Release Management Server к TFS с помощью протокола HTTPS

1. Запустите Release Management Client.

2. Выберите Администрирование, а затем Управление TFS.

3. Измените протокол подключения на HTTPS, обновите номер порта (при необходимости) и нажмите кнопку Проверить.

Настройка клиентских компьютеров

На каждом клиентском компьютере, с которого пользователи осуществляют доступ к Team Foundation, необходимо установить сертификат локально и удалить из клиентского кэша данные о любом пользователе, осуществлявшем доступ к Team Foundation с этого компьютера. В противном случае пользователи не смогут подключаться к Team Foundation с этого компьютера. Дополнительные сведения см. в статье Управление доверенными корневыми сертификатами.

Важно!

Не выполняйте эту процедуру для компьютеров под управлением Team Foundation Server и одного или более клиентов Team Foundation.

Установка сертификата на клиентском компьютере

1. Войдите на компьютер с учетной записью, принадлежащей группе Администраторы на этом компьютере.

2. Установите сертификат в папку «Доверенный корневой центр сертификации» на локальном компьютере.

Очистка кэша на клиентском компьютере

1. Войдите на компьютер, используя учетные данные пользователя, для которого необходимо выполнить очистку кэша.

2. Закройте все открытые экземпляры Visual Studio.

3. В окне браузера откройте следующую папку:

   диск**:\Users\ИмяПользователя\AppData\Local\Microsoft\Team Foundation\4.0\Cache**

4. Удалите содержимое каталога кэша. Убедитесь, что удалены все вложенные папки.

5. Выберите Пуск, выберите пункт Выполнить, введите команду devenv /resetuserdata, а затем нажмите кнопку ОК.

6. Повторите эти шаги для учетной записи каждого пользователя, осуществлявшего доступ к Team Foundation с этого компьютера.

   Примечание

   Можно разослать инструкции по очистке кэша для всех пользователей Team Foundation, чтобы они могли выполнять очистку кэша самостоятельно.

Подключение клиентских компьютеров к развертыванию с измененными настройками

• В Visual Studio подключитесь к Team Foundation Server с использованием нового URL-адреса HTTPS.

  Для получения дополнительной информации см. Подключение к командным проектам на сервере Team Foundation Server.

Настройка Git

По умолчанию проекты, использующие Git в качестве системы управления версиями, не могут проверить сертификат SSL, настроенный для TFS. Это происходит потому, что в отличие от Visual Studio, Git не распознает хранилище сертификатов Windows. Вместо этого данная система использует OpenSSL для своего хранилища сертификатов. Для использования репозитория Git для проектов, настроенных с SSL, необходимо настроить Git с сертификатом в корне цепочки сертификации развертывания TFS 2013. Это задача настройки клиента, которая применяется только к проектам репозитория Git.

Дополнительные сведения о сетевых операциях Git в Visual Studio 2013 см. в этой публикации блога.

Совет

Для выполнения других задач управления учетными данными Git, например для проверки подлинности Windows, рекомендуется загрузить и установить хранилище учетных данных Windows для Git.

Настройка хранилища сертификатов для Git

• Войдите на компьютер с учетной записью, принадлежащей группе Администраторы на этом компьютере.

• Убедитесь, что необходимый сертификат был установлен и настроен на компьютере, как было описано выше.

• В поддерживаемом веб-браузере извлеките корневой сертификат TFS в качестве файла CER/PEM X.509 в кодировке base64.

• Создайте частную копию хранилища корневых сертификатов Git и добавьте в нее извлеченный сертификат.

Полное пошаговое описание этой процедуры, включая снимки экрана, см. в блоге Филиппа Келли.

См. также

Другие ресурсы

Securing Team Foundation Server with HTTPS and Secure Sockets Layer (SSL)

Team Foundation Server, HTTPS, and Secure Sockets Layer (SSL)