Procédure pas à pas : configuration de Team Foundation Server pour l'utilisation de HTTPS et SSL (Secure Sockets Layer)
Mise à jour : novembre 2007
La procédure pas à pas suivante explique comment demander aux clients Team Foundation d'utiliser des connexions HTTPS et SSL (Secure Sockets Layer) pour se connecter à Visual Studio Team System 2008 Team Foundation Server. Pour prendre en charge des connexions externes à vos déploiements de Team Foundation Server, vous devez configurer les services IIS (Internet Information Services) pour qu'ils activent l'authentification de base et/ou Digest. En outre, vous devez configurer un filtre ISAPI (Internet Server Application Programming Interface).
Tout au long de cette procédure pas à pas, vous effectuerez les tâches suivantes :
Créer une demande de certificat pour les sites Web de Team Foundation Server.
Émettre la demande de certificat et créer le fichier de certificat binaire.
Installer et assigner le certificat.
Configurer Team Foundation Server pour qu'il utilise HTTPS et SSL.
Installer le certificat sur les ordinateurs clients.
Tester le certificat.
Composants requis
Pour effectuer cette procédure pas à pas :
Les composants logiques qui comprennent la couche Données de Team Foundation et la couche Application de Team Foundation Server doivent être installés et opérationnels. Cette procédure pas à pas fait référence aux serveurs exécutant les composants logiques qui composent la couche Application de Team Foundation comme serveur de couche Application de Team Foundation. Elle fait également référence aux serveurs exécutant les composants logiques qui composent la couche Données de Team Foundation comme serveur de couche Données de Team Foundation. En fonction de votre configuration de déploiement, le serveur de couche Application de Team Foundation et le serveur de couche Données de Team Foundation peuvent être le même serveur physique, ou un ou plusieurs serveurs physiques différents. Pour plus d'informations, consultez le Guide d'installation de Team Foundation. Vous pouvez télécharger la version la plus récente du Guide d'installation de Team Foundation depuis le Centre de téléchargement Microsoft sur https://go.microsoft.com/fwlink/?linkid=79226 (en anglais).
Vous devez disposer d'une Autorité de certification pour émettre des certificats. Cette procédure pas à pas suppose que vous utilisez les services de certificats Microsoft comme Autorité de certification. Si vous ne disposez pas d'une Autorité de certification, vous pouvez installer les services de certificats Microsoft et configurer une Autorité de certification. Pour plus d'informations, consultez le site Web Microsoft à l'adresse https://go.microsoft.com/fwlink/?LinkId=70929.
Si vous configurez un agent de build pour les connexions SSL :
Team Foundation Build et Team Explorer doivent être installés et opérationnels.
Un certificat doit avoir été publié pour l'agent de build.
Les outils de support de Windows doivent être installés sur l'ordinateur de build. Ces outils sont nécessaires pour associer un certificat à l'adresse IP et au port. Pour plus d'informations, consultez « Outils de support de Windows » sur https://go.microsoft.com/fwlink/?LinkId=93827 (en anglais).
Autorisations requises
Vous devez être membre du groupe Administrateurs sur les serveurs des couches Application et Données de Team Foundation et membre du groupe Administrateurs de Team Foundation pour exécuter cette procédure. Pour configurer un agent de build pour les connexions SSL, vous devez être membre du groupe Administrateurs sur l'ordinateur de build. Pour plus d'informations sur les autorisations, consultez Autorisations de Team Foundation Server.
Assumptions (Hypothèses)
Cette procédure pas à pas suppose ce qui suit :
Le serveur de couche Données de Team Foundation et le serveur de couche Application de Team Foundation ont été installés et déployés dans un environnement sécurisé et configurés conformément aux meilleures pratiques en terme de sécurité.
L'administrateur configurant Team Foundation Server à l'aide de SSL maîtrise les infrastructures à clé publique (PKI) et les certificats, y compris les procédures de demande, d'émission et d'assignation de certificats. Pour plus d'informations sur les infrastructures à clés publiques et les certificats, consultez le site Web Microsoft à l'adresse https://go.microsoft.com/fwlink/?LinkId=70930.
L'administrateur sait configurer les services Internet (IIS), Microsoft SQL Server et les paramètres réseau, et a des connaissances pratiques sur la topologie du réseau de l'environnement de développement.
Installation des services de certificats Microsoft
Cette procédure pas à pas utilise les services de certificats Microsoft comme Autorité de certification pour l'émission de certificats. Pour plus de commodité dans cette procédure pas à pas, les Services de certificats sont installés sur le serveur de couche Application Team Foundation, mais vous pouvez choisir votre propre logiciel d'autorité de certification et la configuration de déploiement la mieux adaptée aux exigences de votre entreprise. Pour des raisons de sécurité, il serait préférable d'isoler votre Autorité de certification racine lorsque vous déployez les services de certificats dans un environnement de production. L'isolation physique du serveur d'Autorité de certification dans une infrastructure accessible uniquement aux administrateurs de sécurité permet de réduire considérablement les risques de falsification. Pour plus d'informations sur les fonctions des services de certificats et les meilleures pratiques, consultez le site Web Microsoft à l'adresse https://go.microsoft.com/fwlink/?LinkId=70929.
Attention : |
---|
Après avoir installé les services de certificats, vous ne pouvez pas modifier le nom de l'ordinateur ou du domaine dans lequel l'ordinateur est référencé. Si vous modifiez le nom ou le domaine de l'ordinateur, le certificat émis par l'Autorité de certification n'est plus valide. |
Pour installer les services de certificats
Cliquez sur Démarrer, sur Panneau de configuration, puis sur Ajout/Suppression de programmes.
Cliquez sur Ajouter/Supprimer des composants Windows.
Dans l'Assistant Composants de Windows, cliquez sur Services de certificats dans la liste Composants.
Examinez le texte du message, puis cliquez sur Oui.
Cliquez sur Suivant pour démarrer l'installation.
À la page Type d'Autorité de certification, sélectionnez Autorité racine autonome, puis cliquez sur Suivant.
À la page Information d'identification de l'Autorité de certification, dans Nom commun de cette Autorité de certification, tapez le nom de l'ordinateur.
Dans Période de validité, définissez la durée du certificat sur six (6) mois, puis cliquez sur Suivant.
À la page Paramètres de la base de données de certificats, cliquez sur Suivant sans apporter de modifications.
Un message s'affiche indiquant que les services IIS doivent être arrêtés.
Dans le message, cliquez sur Oui.
La page Configuration des composants s'affiche.
Si un message s'affiche avec des informations sur Active Server Pages (ASP), cliquez sur Oui.
Cliquez sur Terminer.
Création d'une demande de certificat pour des sites Web Team Foundation Server
Sur l'ordinateur de couche Application, vous devez créer une demande de certificat pour Team Foundation Server à l'aide du Gestionnaire des services Internet (IIS).
Pour créer une demande de certificat pour des sites Web Team Foundation Server
Cliquez sur Démarrer, sur Outils d'administration, puis sur Gestionnaire des services Internet (IIS).
Développez NomOrdinateur (ordinateur local), puis Sites Web.
Cliquez avec le bouton droit sur Team Foundation Server, puis cliquez sur Propriétés.
Dans Propriétés de Team Foundation Server, cliquez sur l'onglet Sécurité du répertoire.
Sous Communications sécurisées, cliquez sur Certificat de serveur.
L'Assistant Certificat de serveur Web s'affiche. Cliquez sur Next.
À la page Certificat de serveur, cliquez sur Créer un nouveau certificat, puis sur Suivant.
À la page Demande ultérieure ou immédiate, cliquez sur Suivant.
À la page Nom et paramètres de sécurité, cliquez sur Suivant sans apporter de modifications.
À la page Informations sur l'organisation, spécifiez des valeurs pour Organisation et Unité d'organisation. Par exemple, entrez le nom de votre société dans Organisation et le nom de votre équipe ou de votre groupe dans Unité d'organisation. Cliquez sur Suivant.
À la page Nom commun de votre site, cliquez sur Suivant sans apporter de modifications.
À la page Informations géographiques, spécifiez les informations appropriées dans les zones Pays/Région, Département ou région et Ville/Localité, puis cliquez sur Suivant.
À la page Nom de fichier de la demande de certificat, sous Nom de fichier, spécifiez l'emplacement où vous souhaitez enregistrer le fichier de demande de certificat et le nom du fichier, puis cliquez sur Suivant.
Remarque : Assurez-vous d'enregistrer le fichier de demande de certificat sur un partage réseau ou à un autre emplacement accessible à partir de l'ordinateur Autorité de certification.
Passez en revue les informations répertoriées sur la page Résumé du contenu du fichier de demande, puis cliquez sur Suivant.
Cliquez sur Terminer.
Cliquez sur OK pour quitter la boîte de dialogue Propriétés de Team Foundation Server.
Émission d'une demande de certificat et création d'un fichier de certificat binaire
Après avoir créé une demande de certificat, vous devez faire en sorte que l'Autorité de certification, dans ce cas les services de certificats Microsoft, émette un certificat basé sur la demande. Une fois un certificat créé, vous pouvez l'assigner aux sites Web appropriés à l'aide des services IIS.
Pour émettre une demande de certificat à l'aide des services de certificats Microsoft
Cliquez sur Démarrer, sur Outils d'administration, puis sur Autorité de certification.
Dans le volet Explorateur, cliquez avec le bouton droit sur le nom de l'ordinateur, sélectionnez Toutes les tâches, puis cliquez sur Soumettre une nouvelle demande.
Dans la boîte de dialogue Ouvrir un fichier de demande, recherchez le fichier texte de la demande de certificat que vous avez créé lors de la procédure précédente, puis cliquez sur Ouvrir.
Dans le volet Explorateur, développez le nom de l'ordinateur, puis cliquez sur Requêtes en attente.
Notez la valeur ID de la requête de la demande en attente.
Cliquez avec le bouton droit sur la demande, sélectionnez Toutes les tâches, puis cliquez sur Délivrer.
Dans la fenêtre Explorateur, sous le nom de l'ordinateur, sélectionnez Certificats délivrés et vérifiez dans la liste des certificats si un certificat correspondant à la valeur ID de la requête de votre demande a été émis.
Dans Certificats délivrés, cliquez avec le bouton droit sur le certificat émis, sélectionnez Toutes les tâches, puis cliquez sur Exporter les données binaires.
Dans Colonnes contenant des données binaires, sélectionnez Certificat binaire. Sous Options d'exportation, sélectionnez Enregistrer les données binaires dans un fichier, puis cliquez sur OK.
Dans Sauvegarder les données binaires, enregistrez le fichier sur un appareil mobile multimédia ou un partage réseau accessible par l'ordinateur de couche Application de Team Foundation.
Quittez l'Autorité de certification.
Installation et assignation du certificat
Avant de pouvoir utiliser SSL avec Team Foundation Server, vous devez installer le certificat de serveur sur le site Web de Team Foundation Server puis configurer HTTPS sur les sites Web liés à Team Foundation Server. Ces sites Web connexes incluent les éléments suivants :
Site Web par défaut
Administration centrale de SharePoint
Report Server
Installation du certificat de serveur
Procédez comme suit pour installer le certificat de serveur sur Team Foundation Server.
Pour installer le certificat de serveur sur le site Web Team Foundation Server
Sur le serveur de couche Application Team Foundation, cliquez sur Démarrer, Outils d'administration, puis sur Gestionnaire des services Internet (IIS).
Développez <NomOrdinateur> (ordinateur local), puis développez Sites Web.
Cliquez avec le bouton droit sur Team Foundation Server, puis cliquez sur Propriétés.
Dans Propriétés de Team Foundation Server, cliquez sur l'onglet Sécurité du répertoire.
Sous Communications sécurisées, cliquez sur Certificat de serveur.
L'Assistant Certificat de serveur Web s'affiche. Cliquez sur Next.
À la page Demande de certificat en attente, sélectionnez Traiter la demande en attente et installer le certificat, puis cliquez sur Suivant.
À la page Traiter une demande de certificat en attente, cliquez sur Parcourir.
Dans la boîte de dialogue Ouvrir, sous Types de fichiers, sélectionnez Tous les fichiers (*.*) dans la liste déroulante, puis recherchez le répertoire où vous avez enregistré le certificat binaire lors de la procédure précédente. Sélectionnez le fichier de certificat binaire, puis cliquez sur Ouvrir.
À la page Traiter une demande de certificat en attente, cliquez sur Suivant.
À la page Port SSL, acceptez la valeur par défaut ou entrez une nouvelle valeur, puis cliquez sur Suivant. Le port par défaut des connexions SSL est le port 443, mais vous devez assigner une valeur de port unique pour chacun des trois sites suivants : site Web Team Foundation Server, site Web par défaut et site Web Administration centrale SharePoint.
Remarque importante : Il convient d'utiliser un numéro de port autre que la valeur par défaut, car l'utilisation du numéro de port par défaut peut réduire la sécurité de votre déploiement. Notez la valeur du port SSL que vous assignez. Avant d'accepter la valeur par défaut, assurez-vous que le port n'est pas utilisé par un autre certificat de serveur. Les valeurs du port SSL doivent être différentes pour chaque certificat de serveur que vous installez. Par exemple, si le port par défaut 443 n'est pas déjà utilisé et que vous l'acceptez comme valeur de port par défaut pour le site Web de Team Foundation Server, vous devez assigner une autre valeur de port pour le site Web par défaut et le site Web Administration centrale de SharePoint.
Passez en revue les informations de la page Résumé du certificat, puis cliquez sur Suivant.
Cliquez sur Terminer.
Dans l'onglet Sécurité du répertoire, sous Authentification et contrôle d'accès, cliquez sur Modifier.
Dans Méthodes d'authentification, vérifiez que la case Activer la connexion anonyme est désactivée. Dans Accès authentifié, sélectionnez Authentification Windows intégrée et Authentification de base, Authentification Digest pour les serveurs de domaine Windows ou les deux, selon votre déploiement. Désactivez les autres sélections, puis cliquez sur OK.
Remarque : Une fois que vous avez cliqué sur Authentification Digest pour les serveurs de domaine Windows, vous pouvez être invité à confirmer votre choix. Lisez le texte, puis cliquez sur Oui.
Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Team Foundation Server.
Remarque : Si une boîte de dialogue Héritages outrepassés apparaît lorsque vous cliquez sur OK, cliquez sur Sélectionner tout, puis sur OK.
Assignation du certificat au site Web par défaut
Suivez les étapes ci-après pour configurer HTTPS sur le site Web par défaut dans les services IIS.
Remarque : |
---|
Selon votre hiérarchie de certification et votre infrastructure à clé publique, vous pouvez souhaiter également configurer IIS pour l'authentification de certificat client. Pour plus d'informations, consultez Certificates (IIS 6.0), Certificate Services et Certificates (pages en anglais) sur le site Web Microsoft. |
Pour configurer HTTPS sur le site Web par défaut et utiliser SSL
Sur le serveur de couche Application Team Foundation, cliquez sur Démarrer, Outils d'administration, puis sur Gestionnaire des services Internet (IIS).
Développez <NomOrdinateur> (ordinateur local), puis Sites Web.
Cliquez avec le bouton droit sur Site Web par défaut, puis cliquez sur Propriétés.
Dans Propriétés du site web par défaut, cliquez sur l'onglet Sécurité du répertoire.
Sous Communications sécurisées, cliquez sur Certificat de serveur.
L'Assistant Certificat de serveur Web s'affiche. Cliquez sur Next.
À la page Certificat de serveur, sélectionnez Attribuer un certificat existant, puis cliquez sur Suivant.
À la page Certificats disponibles, sélectionnez le certificat dont la valeur de Nom convivial est Team Foundation Server. Vous devrez peut-être faire défiler l'écran pour afficher la colonne Nom convivial dans la liste. Cliquez sur Suivant.
À la page Port SSL, acceptez la valeur par défaut ou entrez une nouvelle valeur, puis cliquez sur Suivant. Le port par défaut des connexions SSL est le port 443, mais vous devez assigner une valeur de port unique pour chacun des trois sites suivants : site Web Team Foundation Server, site Web par défaut et site Web Administration centrale SharePoint.
Remarque importante : Il convient d'utiliser un numéro de port autre que la valeur par défaut, car l'utilisation du numéro de port par défaut peut réduire la sécurité de votre déploiement. Notez la valeur du port SSL. Les valeurs du port SSL doivent être différentes pour chaque certificat de serveur que vous installez. Par exemple, si vous acceptez le port 443 comme valeur de port par défaut pour le site Web de Team Foundation Server, vous devez assigner une autre valeur de port pour le site Web par défaut et le site Web Administration centrale de SharePoint.
Passez en revue les informations de la page Résumé du certificat, puis cliquez sur Suivant.
Cliquez sur Terminer. L'Assistant se ferme.
Dans l'onglet Sécurité du répertoire, sous Communications sécurisées, cliquez sur Modifier.
Dans Communications sécurisées, sélectionnez Requérir un canal sécurisé (SSL). Assurez-vous que l'option Ignorer les certificats clients est sélectionnée, puis cliquez sur OK.
Dans l'onglet Sécurité du répertoire, sous Authentification et contrôle d'accès, cliquez sur Modifier.
Dans Méthodes d'authentification, vérifiez que la case Activer la connexion anonyme est désactivée. Dans Accès authentifié, sélectionnez Authentification Windows intégrée et Authentification Digest pour les serveurs de domaine Windows, Authentification de base ou les deux, selon votre déploiement. Désactivez les autres sélections, puis cliquez sur OK. Pour plus d'informations sur les méthodes d'authentification et Team Foundation Server, consultez Team Foundation Server, authentification de base et authentification Digest.
Remarque : Une fois que vous avez cliqué sur Authentification Digest pour les serveurs de domaine Windows, vous pouvez être invité à confirmer votre choix. Lisez le texte, puis cliquez sur Oui.
Remarque importante : Vous devez configurer l'authentification Digest correctement. Sinon, les tentatives d'accès à Team Foundation Server échoueront. Ne choisissez pas l'authentification Digest, sauf si vos déploiements satisfont à toutes les spécifications pour l'authentification Digest. Pour plus d'informations sur l'authentification Digest, consultez le site Web Microsoft sur https://go.microsoft.com/fwlink/?LinkId=89709 (en anglais).
Cliquez sur OK pour fermer la boîte de dialogue Propriétés du site Web par défaut.
Remarque : Si une boîte de dialogue Héritages outrepassés apparaît lorsque vous cliquez sur OK, cliquez sur Sélectionner tout, puis sur OK.
Pour configurer le site Web de Team Foundation Server pour utiliser SSL
Sur le serveur de couche Application Team Foundation, cliquez sur Démarrer, Outils d'administration, puis sur Gestionnaire des services Internet (IIS).
Développez <NomOrdinateur> (ordinateur local), puis développez Sites Web.
Cliquez avec le bouton droit sur Team Foundation Server, puis cliquez sur Propriétés.
Dans Propriétés de Team Foundation Server, cliquez sur l'onglet Sécurité du répertoire.
Dans l'onglet Sécurité du répertoire, sous Communications sécurisées, cliquez sur Modifier.
Dans Communications sécurisées, sélectionnez Requérir un canal sécurisé (SSL). Assurez-vous que l'option Ignorer les certificats clients est sélectionnée, puis cliquez sur OK.
Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Team Foundation Server.
Remarque : Si une boîte de dialogue Héritages outrepassés apparaît lorsque vous cliquez sur OK, cliquez sur Sélectionner tout, puis sur OK.
Assignation du certificat à l'Administration centrale de SharePoint
Suivez les étapes ci-après pour configurer HTTPS pour l'Administration centrale de SharePoint.
Pour configurer HTTPS pour l'Administration centrale de SharePoint et utiliser SSL
Sur le serveur de couche Application Team Foundation, cliquez sur Démarrer, Outils d'administration, puis sur Gestionnaire des services Internet (IIS).
Développez <NomOrdinateur> (ordinateur local), puis Sites Web.
Cliquez avec le bouton droit sur Administration centrale de SharePoint, puis cliquez sur Propriétés.
Dans Propriétés de Administration centrale de SharePoint, cliquez sur l'onglet Sécurité du répertoire.
Sous Communications sécurisées, cliquez sur Certificat de serveur.
L'Assistant Certificat de serveur Web s'affiche. Cliquez sur Next.
À la page Certificat de serveur, sélectionnez Attribuer un certificat existant, puis cliquez sur Suivant.
À la page Certificats disponibles, sélectionnez le certificat dont la valeur de Nom convivial est Team Foundation Server. Vous devrez peut-être faire défiler l'écran pour afficher la colonne Nom convivial dans la liste.
Cliquez sur Next.
À la page Port SSL, acceptez la valeur par défaut ou entrez une nouvelle valeur, puis cliquez sur Suivant. Le port par défaut des connexions SSL est le port 443, mais vous devez assigner une valeur de port unique pour chacun des trois sites suivants : site Web Team Foundation Server, site Web par défaut et site Web Administration centrale SharePoint.
Remarque importante : Il convient d'utiliser un numéro de port autre que la valeur par défaut, car l'utilisation du numéro de port par défaut peut réduire la sécurité de votre déploiement. Notez la valeur du port SSL. Les valeurs du port SSL doivent être différentes pour chaque certificat de serveur que vous installez. Par exemple, si vous acceptez le port 443 comme valeur de port par défaut pour le site Web de Team Foundation Server, vous devez assigner une autre valeur de port pour le site Web par défaut et le site Web Administration centrale de SharePoint.
Remarque : Notez cette valeur, car vous en aurez besoin pour assigner le certificat à SQL Report Server.
Passez en revue les informations de la page Résumé du certificat, puis cliquez sur Suivant.
Cliquez sur Terminer.
Dans l'onglet Sécurité du répertoire, sous Communications sécurisées, cliquez sur Modifier.
Dans Communications sécurisées, sélectionnez Requérir un canal sécurisé (SSL). Assurez-vous que l'option Ignorer les certificats clients est sélectionnée, puis cliquez sur OK.
Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Administration centrale de SharePoint.
Configuration du filtre ISAPI
Vous devez créer un fichier d'initialisation ISAPI dans le même répertoire que le fichier AuthenticationFilter.dll qui fait partie de Team Foundation Server SP1. Vous devez également ajouter le filtre ISAPI au Registre.
Pour configurer le filtre ISAPI
Sur le serveur de couche Application de Team Foundation, cliquez sur Démarrer, sur Programmes, sur Accessoires, puis sur Bloc-notes.
Dans le Bloc-notes, créez le fichier suivant, où ProxyAddress représente l'adresse IP d'où le trafic réseau externe vers Team Foundation Server doit provenir (généralement un routeur) et pour laquelle vous souhaitez utiliser HTTPS/SSL et l'authentification de base et/ou Digest, et où SubnetMask représente les paires adresses IP/masques de sous-réseau pour lesquelles vous ne souhaitez pas appliquer l'authentification de base et/ou Digest.
Remarque importante : Si vous ajoutez la clé ProxyIPList au fichier, la clé SubnetList et ses valeurs seront ignorées. Pour plus d'informations, consultez Team Foundation Server, authentification de base et authentification Digest.
Remarque : Vous pouvez définir plusieurs valeurs pour ProxyAddress ou SubnetMask. Séparez les valeurs ProxyAddress ou SubnetMask par un point-virgule.
[config]
RequireSecurePort=true
ProxyIPList=ProxyAddress;
SubnetList=SubnetMask;
Enregistrez ce fichier en tant que AuthenticationFilter.ini dans le même répertoire que le fichier AuthenticationFilter.dll. Ce répertoire est drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup**.
Ouvrez une fenêtre Invite de commandes. Pour ouvrir une invite de commandes, cliquez sur Démarrer, sur Exécuter, tapez cmd, puis cliquez sur OK.
Remarque : Même si vous êtes connecté en tant qu'administrateur, vous devez ouvrir une invite de commandes avec les autorisations élevées pour exécuter cette fonction sur un serveur Windows Server 2008. Pour ouvrir une invite de commandes avec les autorisations élevées, cliquez sur Démarrer, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur. Pour plus d'informations, consultez le site Web Microsoft (page pouvant être en anglais).
À l'invite de commandes, tapez la commande suivante :
reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v EventMessageFile /t REG_SZ /d %windir%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll /f
À l'invite de commandes, tapez la commande suivante :
reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v TypesSupported /t REG_DWORD /d 7 /f
Sur le serveur de couche Application Team Foundation, cliquez sur Démarrer, Outils d'administration, puis sur Gestionnaire des services Internet (IIS).
Développez <NomOrdinateur> (ordinateur local), puis Sites Web, cliquez avec le bouton droit sur Team Foundation Server, puis cliquez sur Propriétés.
Dans Propriétés du site web par défaut, cliquez sur l'onglet Filtres ISAPI.
Sous Filtres ISAPI, cliquez sur Ajouter.
Dans Ajouter/modifier les propriétés du filtre, dans Nom du filtre, tapez TFAuthenticationFilter, dans Exécutable, tapez drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup\AuthenticationFilter.dll**, puis cliquez sur OK.
Configuration de votre pare-feu pour autoriser le trafic SSL
Vous devez configurer votre pare-feu pour autoriser le trafic sur les ports SSL spécifiés dans les services IIS pour le site Web par défaut, le site Web de Team Foundation Server et le site Web Administration centrale de SharePoint.
Remarque : |
---|
Les procédures de configuration de votre pare-feu pour autoriser le trafic SSL varient en fonction du logiciel de pare-feu et du matériel que vous utilisez dans votre déploiement. |
Pour configurer un pare-feu pour autoriser le trafic réseau sur les ports SSL utilisés par Team Foundation Server
- Consultez la documentation de votre pare-feu pour déterminer les procédures requises afin d'autoriser le trafic réseau sur les ports SSL spécifiés pour le site Web par défaut, le site Web de Team Foundation Server et le site Web Administration centrale de SharePoint.
Mise à jour de projets d'équipe SQL Report Server à l'aide de l'outil de ligne de commande TFSConfigWss
Procédez comme décrit ci-après pour mettre à jour les sites Web de projet d'équipe SQL Report Server de sorte que les rapports s'affichent correctement sur les sites des portails du projet d'équipe.
Pour mettre à jour les sites de projet d'équipe SQL Report Server
Sur le serveur de couche Application de Team Foundation, ouvrez une fenêtre d'invite de commandes et indiquez le répertoire Lecteur:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.
À l'invite de commandes, tapez la commande suivante et remplacez ces chaînes :
SiteSharePoint est le nouvel indicateur de ressource uniforme (URI) de la collection de site pour produits et technologies SharePoint.
Rapports est le nouvel URI de SQL Server Reporting Services.
ReportServer est le nouvel URI du service Web ReportsService.asmx.
**TfsConfigWss ConfigureReporting /SharepointSitesUri:SiteSharePoint/ReportsUri:Rapports/ReportServerUri:**ReportServer
Mise à jour des informations de configuration de Team Foundation Server
Procédez comme suit pour mettre à jour les informations de configuration à l'aide des valeurs URL https pour les sites Web de Windows SharePoint Services et Reporting Services.
Pour mettre à jour des informations de configuration pour Team Foundation Server
Dans le serveur de couche Application de Team Foundation, ouvrez une fenêtre d'invite de commandes et spécifiez le répertoire lecteur:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.
Tapez la commande suivante et remplacez ces chaînes :
URLServeurBase est le nouvel URI du serveur Web du serveur de couche Application de Team Foundation.
URLSiteBase est le nouvel URI du site Web par défaut du serveur de couche Application.
SiteSharePoint est le nouvel URI de la collection de site des produits et technologies SharePoint.
AdministrationSharePoint est le nouvel URI du site Web Administration centrale SharePoint.
Rapports est le nouvel URI de SQL Server Reporting Services.
ReportServer est le nouvel URI du service Web ReportsService.asmx.
**TfsAdminUtil ConfigureConnections /ATUri:URLBaseServeur/SharepointUri:URLSiteBase/SharepointSitesUri:SiteSharePoint/SharepointAdminUri:AdministrationSharePoint/ReportsUri:Rapports/ReportServerUri:**ServeurRapports
Remarque : Si vous utilisez une instance nommée, vous devrez spécifier celle-ci dans le cadre des valeurs pour Reports et ReportServer. Ne supprimez pas ni ne modifiez le nom de l'instance nommée.
Par exemple, si vous avez spécifié le port 443 comme valeur du port SSL pour le site Web Team Foundation, 1443 comme valeur du port SSL du site Web par défaut dans les services IIS et 2243 comme valeur du port de l'Administration centrale de SharePoint et que votre serveur de couche Application était nommé Contoso1, vous devez modifier les valeurs comme suit :
**TfsAdminUtil ConfigureConnections /ATUri:**https://Contoso1:443 **/SharepointUri:**https://Contoso1:1443 **/SharepointSitesUri:https://Contoso1:1443/Sites/SharepointAdminUri:**https://Contoso1:2443 /ReportsUri:https://Contoso1:1443/Reports/ReportServerUri:https://Contoso1:1443/ReportServer
Remarque : La commande ConfigureConnections a plusieurs options supplémentaires, comme la mise à jour de l'adresse Web publique utilisée dans les alertes de messagerie électronique. Pour plus d'informations, consultez ConfigureConnections, commande.
Configuration de Reporting Services pour les connexions SSL
Suivez les étapes ci-après pour configurer Reporting Services pour utiliser SSL.
Pour configurer Report Server pour les connexions SSL
Sur le serveur de couche Application de Team Foundation, cliquez sur Démarrer, sur Programmes, sur Microsoft SQL Server 2005, sur Outils de configuration, puis sur Configuration de Reporting Services.
Dans la boîte de dialogue Sélection de l'instance d'installation de Report Server, assurez-vous que les noms de l'ordinateur et de l'instance sont corrects, puis cliquez sur Connecter.
Dans le volet Explorateur, cliquez sur Répertoire virtuel de Report Server.
Dans Paramètres du répertoire virtuel de Report Server, sélectionnez Exiger des connexions SSL. Dans Obligatoire pour, sélectionnez 1 - Connexions. Dans Nom du certificat, tapez le nom de couche Application de Team Foundation, puis cliquez sur Appliquer.
Fermez le gestionnaire de configuration de Reporting Services.
Installation du certificat sur les ordinateurs de build
Si vous avez installé Build Services sur un ou plusieurs serveurs, vous devez installer le certificat sur chacun de ces serveurs.
Remarque : |
---|
Pour exécuter des builds sur SSL, le certificat doit être installé dans le magasin racine approuvé sur l'ordinateur de build pour le compte sous lequel le service de build s'exécute et sur l'ordinateur qui initie la build. |
Pour installer le certificat sur les ordinateurs de build
Connectez-vous à l'ordinateur de build en utilisant un compte qui est membre du groupe Administrateurs sur cet ordinateur.
Ouvrez un navigateur et accédez au site Web ci-après, CertificateServer désignant le nom de votre serveur de certificat, et port désignant le numéro du port SSL assigné à l'Autorité de certification :
https://Port:CertificateServer/services/v1.0/serverstatus.asmx
Une boîte de dialogue contenant un message de sécurité s'affiche. Dans Alerte de sécurité, cliquez sur Afficher le certificat.
Dans la boîte de dialogue Certificat, cliquez sur l'onglet Chemin d'accès de certification.
Dans Chemin d'accès de certification, cliquez sur l'Autorité de certification. Elle doit correspondre au nœud supérieur de la hiérarchie de certification, et un X rouge doit apparaître en regard du nom. Ce signe indique que l'Autorité de certification n'est pas approuvée, car elle ne figure pas dans le magasin d'Autorités de certification racine approuvées. Cliquez sur Afficher le certificat.
Dans la boîte de dialogue Certificat, cliquez sur Installer le certificat.
L'Assistant Importation de certificat s'ouvre. Cliquez sur Next.
Dans la page Magasin de certificats, sélectionnez Placer tous les certificats dans le magasin suivant, puis cliquez sur Parcourir.
Dans Sélectionner un magasin de certificats, sélectionnez Afficher les magasins physiques. Dans Sélectionnez le magasin de certificats que vous voulez utiliser, développez Autorités de certification racines de confiance, sélectionnez Ordinateur local, puis cliquez sur OK.
Dans la page Magasin de certificats, cliquez sur Suivant.
Dans la page Fin de l'Assistant Importation de certificat, cliquez sur Terminer.
Une boîte de dialogue Assistant Importation de certificat peut s'afficher pour confirmer que l'importation s'est correctement déroulée. Si elle apparaît, cliquez sur OK.
Dans la boîte de dialogue Certificat, cliquez sur OK. La boîte de dialogue Certificat pour la hiérarchie de certification du nœud supérieur se ferme.
Dans la boîte de dialogue Certificat, cliquez sur OK. La boîte de dialogue Certificat pour le certificat subalterne se ferme.
Dans Alerte de sécurité, cliquez sur Non.
Ouvrez un navigateur et accédez au site Web ci-après, CertificateServer désignant le nom de votre serveur de certificat, et port désignant le numéro du port SSL assigné à l'Autorité de certification :
https://Port:CertificateServer/services/v1.0/serverstatus.asmx
La page Service Web d'état du serveur doit s'ouvrir. Elle confirme que vous avez installé correctement le certificat et l'Autorité de certification. Fermez le navigateur.
Configuration d'un agent de build pour les connexions SSL
Pour configurer un agent de build pour les connexions SSL, vous devez configurer un certificat HTTPS pour chaque combinaison d'adresse IP et de port. Si tous les agents de build partagent le même port sur l'ordinateur de build, vous devez configurer un seul certificat. Si vous exécutez plusieurs agents de build sur plusieurs ports, vous devez configurer un certificat pour chaque port.
Configurez un agent de build pour exiger l'utilisation de SSL en procédant comme suit :
Créez et configurez l'agent de build pour exiger l'utilisation de HTTPS.
Arrêtez le service Visual Studio Team Foundation Build.
Modifiez la configuration du service de build pour exiger l'utilisation de HTTPS.
Associez un certificat à l'adresse IP et au port.
Configurez le port et le protocole pour l'agent de build.
Redémarrez le service Visual Studio Team Foundation Build.
Vérifiez la configuration SSL.
Pour configurer l'agent de build pour exiger l'utilisation de HTTPS
Ouvrez la boîte de dialogue Gérer les agents de build et activez la case à cocher Requérir un canal sécurisé (HTTPS).
Pour plus d'informations, consultez Comment : créer et gérer des agents de build.
Cliquez sur Modifier.
La boîte de dialogue Propriétés de l'agent de build s'affiche.
Dans la liste État de l'agent, cliquez sur Désactivé.
Pour arrêter le service Visual Studio Team Foundation Build
Connectez-vous à l'ordinateur de build en utilisant un compte qui est membre du groupe Administrateurs sur cet ordinateur.
Sur l'ordinateur de build, cliquez sur Démarrer, Panneau de configuration, Outils d'administration, puis sur Services.
Dans le volet Services (Local), cliquez avec le bouton droit sur Visual Studio Team Foundation Build et cliquez sur Propriétés.
La boîte de dialogue Propriétés de Visual Studio Team Foundation Build Properties (Ordinateur local) s'ouvre.
Sous État du service, cliquez sur Arrêter.
Pour modifier la configuration du service de build afin d'exiger l'utilisation de HTTPS.
Connectez-vous à l'ordinateur de build en utilisant un compte qui est membre du groupe Administrateurs sur cet ordinateur.
Ouvrez Lecteur:\Program Files\Microsoft Visual Studio 2008\Common7\IDE\PrivateAssemblies, cliquez avec le bouton droit sur TfsBuildservice.config.exe, et cliquez sur Ouvrir.
Le fichier s'ouvre dans l'éditeur XML pour Visual Studio.
Dans la section <appSettings>, remplacez la valeur de la clé RequireSecureChannel par la valeur « true ». Par exemple, remplacez la définition de la clé par la chaîne suivante :
<add key="RequireSecureChannel" value="true" />
Enregistrez vos modifications et fermez le fichier.
Pour associer un certificat SSL à une adresse IP et à un numéro de port
Connectez-vous à l'ordinateur de build en utilisant un compte qui est membre du groupe Administrateurs sur cet ordinateur.
Utilisez le composant logiciel enfichable Certificats pour rechercher un certificat X.509 dont le rôle prévu est l'authentification du client.
Pour plus d'informations, consultez « Comment : récupérer l'empreinte numérique d'un certificat » sur https://go.microsoft.com/fwlink/?LinkId=93828 (en anglais).
Copiez l'empreinte du certificat dans un éditeur de texte, tel que le Bloc-notes.
Supprimez tous les espaces entre les caractères hexadécimaux.
Pour ce faire, utilisez la fonctionnalité Rechercher et remplacer de l'éditeur de texte pour remplacer chaque espace par un caractère Null.
Sur l'ordinateur de build, cliquez sur Démarrer, Tous les programmes, Outils de support de Windows, puis cliquez sur Invite de commandes.
Exécutez l'outil HttpCfg.exe en mode « défini » sur le magasin SSL pour lier le certificat à un numéro de port. L'outil utilise l'empreinte pour identifier le certificat, comme illustré dans l'exemple suivant :
httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces
Le paramètre /i a la syntaxe de l'adresse IP:du port et indique à l'outil d'affecter au certificat le port 9191 de l'ordinateur de build. L'adresse IP 0.0.0.0 réserve toutes les adresses de l'ordinateur pour plus de simplicité. Si vous avez besoin de précision supplémentaire, spécifiez l'adresse IP exacte sur laquelle le service d'agent est publié. Le paramètre /h spécifie l'empreinte du certificat.
Si le certificat client doit être négocié, ajoutez le paramètre /f 2 comme illustré dans l'exemple suivant :
httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces /f 2
Pour plus d'informations sur la syntaxe de la commande HttpCfg.exe, consultez « Comment : configurer un port avec un certificat SSL » sur https://go.microsoft.com/fwlink/?LinkId=93829 (en anglais).
Pour configurer le port et le protocole de l'agent de build.
À l'invite de commandes, exécutez wcfhttpconfigfreeNuméroPort. L'instruction de commande doit ressembler à la chaîne suivante :
wcfhttpconfig free OldPortForHttp
Pour plus d'informations, consultez wcfhttpconfig (Team Foundation Build).
À l'invite de commandes, exécutez wcfhttpconfigreserveCompteUtilisateurURL. L'instruction de commande doit ressembler à ce qui suit :
wcfhttpconfig reserve Domain\Account https://+Computer:NewPortForHttps/Build/v2.0/AgentService.asmx
Ajoutez le port à la liste des exceptions pour le Pare-feu Windows.
Pour redémarrer le service Visual Studio Team Foundation Build
Connectez-vous à l'ordinateur de build en utilisant un compte qui est membre du groupe Administrateurs sur cet ordinateur.
Sur l'ordinateur de build, cliquez sur Démarrer, Panneau de configuration, Outils d'administration, puis sur Services.
Dans le volet Services (Local), cliquez avec le bouton droit sur Visual Studio Team Foundation Build et cliquez sur Propriétés.
La boîte de dialogue Propriétés de Visual Studio Team Foundation Build Properties (Ordinateur local) s'ouvre.
Sous État du service, cliquez sur Démarrer.
Pour vérifier la configuration SSL
Ouvrez la boîte de dialogue Gérer les agents de build.
Pour plus d'informations, consultez Comment : créer et gérer des agents de build.
Cliquez sur Modifier.
La boîte de dialogue Propriétés de l'agent de build s'affiche.
Dans la liste État de l'agent, cliquez sur Activé.
Vérifiez si la communication se produit en exécutant une build à l'aide de l'agent de build.
Pour plus d'informations, consultez Comment : démarrer ou mettre en file d'attente une définition de build.
Installation du certificat sur les ordinateurs Team Foundation Server Proxy
Si vous avez installé Team Foundation Server Proxy sur un ou plusieurs ordinateurs, vous devez installer le certificat sur chacun de ces ordinateurs.
Remarque : |
---|
En plus de suivre la procédure ci-dessous, vous devez configurer tous les pare-feu pour l'ordinateur proxy afin d'autoriser le trafic sur les ports SSL que vous avez spécifiés pour Team Foundation Server. Les procédures de configuration de votre pare-feu à cette fin varient en fonction du logiciel de pare-feu et du matériel que vous utilisez dans votre déploiement. |
Pour installer le certificat sur les ordinateurs Team Foundation Server Proxy
Connectez-vous au serveur Team Foundation Server Proxy en utilisant un compte qui est membre du groupe Administrateurs sur cet ordinateur.
Ouvrez un navigateur et accédez au site Web ci-après, CertificateServer désignant le nom de votre serveur de certificat, et port désignant le numéro du port SSL assigné à l'Autorité de certification :
https://Port:CertificateServer/services/v1.0/serverstatus.asmx
Une boîte de dialogue contenant un message de sécurité s'affiche. Dans Alerte de sécurité, cliquez sur Afficher le certificat.
Dans la boîte de dialogue Certificat, cliquez sur l'onglet Chemin d'accès de certification.
Dans Chemin d'accès de certification, cliquez sur l'Autorité de certification. Elle doit correspondre au nœud supérieur de la hiérarchie de certification, et un X rouge doit apparaître en regard du nom. Ce signe indique que l'Autorité de certification n'est pas approuvée, car elle ne figure pas dans le magasin d'Autorités de certification racine approuvées. Cliquez sur Afficher le certificat.
Dans la boîte de dialogue Certificat, cliquez sur Installer le certificat.
L'Assistant Importation de certificat s'ouvre. Cliquez sur Next.
Dans la page Magasin de certificats, sélectionnez Placer tous les certificats dans le magasin suivant, puis cliquez sur Parcourir.
Dans Sélectionner un magasin de certificats, sélectionnez Afficher les magasins physiques. Dans Sélectionnez le magasin de certificats que vous voulez utiliser, développez Autorités de certification racines de confiance, sélectionnez Ordinateur local, puis cliquez sur OK.
Dans la page Magasin de certificats, cliquez sur Suivant.
Dans la page Fin de l'Assistant Importation de certificat, cliquez sur Terminer.
Une boîte de dialogue Assistant Importation de certificat peut s'afficher pour confirmer que l'importation s'est correctement déroulée. Si elle apparaît, cliquez sur OK.
Dans la boîte de dialogue Certificat, cliquez sur OK. La boîte de dialogue Certificat pour la hiérarchie de certification du nœud supérieur se ferme.
Dans la boîte de dialogue Certificat, cliquez sur OK. La boîte de dialogue Certificat pour le certificat subalterne se ferme.
Dans Alerte de sécurité, cliquez sur Non.
Ouvrez un navigateur et accédez au site Web ci-après, CertificateServer désignant le nom de votre serveur de certificat, et port désignant le numéro du port SSL assigné à l'Autorité de certification :
https://Port:CertificateServer/services/v1.0/serverstatus.asmx
La page Service Web d'état du serveur doit s'ouvrir. Elle confirme que vous avez installé correctement le certificat et l'Autorité de certification. Fermez le navigateur.
Installation du certificat sur les ordinateurs clients
Le certificat doit être installé localement sur tous les ordinateurs clients qui accèdent à Team Foundation Server. En outre, si l'ordinateur client a précédemment accédé à un projet d'équipe de Team Foundation Server, vous devez effacer le cache client pour chaque utilisateur qui utilise l'ordinateur pour se connecter à Team Foundation Server pour que cet utilisateur puisse se connecter à Team Foundation Server.
Remarque importante : |
---|
Ne suivez pas cette procédure pour les clients Team Foundation installés sur le serveur qui exécute Team Foundation Server. |
Pour installer le certificat sur les ordinateurs clients Team Foundation
Connectez-vous à l'ordinateur client de Team Foundation en utilisant un compte qui est membre du groupe Administrateurs sur cet ordinateur.
Ouvrez un navigateur et accédez au site Web ci-après, CertificateServer désignant le nom de votre serveur de certificat, et port désignant le numéro du port SSL assigné à l'Autorité de certification :
https://Port:CertificateServer/services/v1.0/serverstatus.asmx
Une boîte de dialogue contenant un message de sécurité s'affiche. Dans Alerte de sécurité, cliquez sur Afficher le certificat.
Dans la boîte de dialogue Certificat, cliquez sur l'onglet Chemin d'accès de certification.
Dans Chemin d'accès de certification, cliquez sur l'Autorité de certification. Elle doit correspondre au nœud supérieur de la hiérarchie de certification, et un X rouge doit apparaître en regard du nom. Ce signe indique que l'Autorité de certification n'est pas approuvée, car elle ne figure pas dans le magasin d'Autorités de certification racine approuvées. Cliquez sur Afficher le certificat.
Dans la boîte de dialogue Certificat, cliquez sur Installer le certificat.
L'Assistant Importation de certificat s'ouvre. Cliquez sur Next.
Dans la page Magasin de certificats, sélectionnez Placer tous les certificats dans le magasin suivant, puis cliquez sur Parcourir.
Dans Sélectionner un magasin de certificats, sélectionnez Afficher les magasins physiques. Dans Sélectionnez le magasin de certificats que vous voulez utiliser, développez Autorités de certification racines de confiance, sélectionnez Ordinateur local, puis cliquez sur OK.
Dans la page Magasin de certificats, cliquez sur Suivant.
Dans la page Fin de l'Assistant Importation de certificat, cliquez sur Terminer.
Une boîte de dialogue Assistant Importation de certificat peut s'afficher pour confirmer que l'importation s'est correctement déroulée. Si elle apparaît, cliquez sur OK.
Dans la boîte de dialogue Certificat, cliquez sur OK. La boîte de dialogue Certificat pour la hiérarchie de certification du nœud supérieur se ferme.
Dans la boîte de dialogue Certificat, cliquez sur OK. La boîte de dialogue Certificat pour le certificat subalterne se ferme.
Dans Alerte de sécurité, cliquez sur Non.
Ouvrez un navigateur et accédez au site Web ci-après, CertificateServer désignant le nom de votre serveur de certificat, et port désignant le numéro du port SSL assigné à l'Autorité de certification :
https://Port:CertificateServer/services/v1.0/serverstatus.asmx
La page Service Web d'état du serveur doit s'ouvrir. Elle confirme que vous avez installé correctement le certificat et l'Autorité de certification. Fermez le navigateur.
Pour effacer le cache sur les ordinateurs clients Team Foundation
Connectez-vous à l'ordinateur client de Team Foundation en utilisant les informations d'identification de l'utilisateur que vous souhaitez mettre à jour.
Sur l'ordinateur client de Team Foundation, fermez toutes les instances ouvertes de Visual Studio.
Ouvrez un navigateur et accédez au dossier suivant :
lecteur**:\Documents and Settings\nom_utilisateur\Local Settings\Application Data\Microsoft\Team Foundation\2.0\Cache**
Supprimez le contenu du répertoire cache. Assurez-vous d'avoir supprimé tous les sous-dossiers.
Cliquez sur Démarrer, sur Exécuter, tapez devenv /resetuserdata, puis cliquez sur OK.
Répétez ces étapes pour chaque compte d'utilisateur de l'ordinateur qui accède à Team Foundation Server.
Remarque : Vous souhaitez peut-être fournir des instructions sur la manière d'effacer le cache à tous vos utilisateurs de Team Foundation Server afin qu'ils puissent effectuer eux-mêmes cette procédure.
Voir aussi
Tâches
Concepts
Team Foundation Server, HTTPS et Secure Sockets Layer (SSL)
Team Foundation Server, authentification de base et authentification Digest
Autres ressources
Procédures pas à pas relatives à l'administration de Team Foundation
Sécurisation de Team Foundation Server avec HTTPS et Secure Sockets Layer (SSL)