共用方式為

逐步解說:使用 Secure Sockets Layer (SSL) 和 ISAPI 篩選常式設定 Team Foundation Server

  • 發行項

更新:2007 年 11 月

下列逐步解說將說明要求、發出和指派憑證的程序,而這些憑證可用於 Visual Studio Team System Team Foundation Server 中的 Secure Sockets Layer (SSL) 連線、設定基本驗證和 (或) 摘要式驗證,以及設定 ISAPI 篩選常式 (Filter)。為了支援與 Team Foundation Server 部署的外部連接,則必須將網際網路資訊服務 (IIS) 設定為啟用基本驗證和 (或) 摘要式驗證。此外,您必須設定 ISAPI 篩選器。

注意事項:

您不需要設定 ISAPI 篩選器以啟用 HTTPS/SSL。本逐步解說提供設定下列所有活動的指引,但是您可以用不同的方式設定自己的 Team Foundation Server 部署。

在這個逐步解說中,您將完成下列活動:

  1. 為 Team Foundation 網站建立憑證要求。

  2. 發出憑證要求,並建立二進位憑證檔。

  3. 安裝及指派憑證。

  4. 設定 Team Foundation Server 以使用 HTTPS 和 SSL。

  5. 在用戶端電腦上安裝憑證。

  6. 測試憑證。

注意事項:

本逐步解說中的程序只有在用戶端連接至 Team Foundation 時,才不會要求它們使用 HTTPS 和 SSL。如需如何單獨限制 HTTPS 和 SSL 連接的詳細資訊,請參閱逐步解說:設定 Team Foundation Server 以要求 HTTPS 和 Secure Sockets Layer (SSL)

必要條件

若要完成本逐步解說:

  • 構成 Team Foundation Server 之 Team Foundation 資料層和應用程式層的邏輯元件必須先加以安裝並運作。本逐步解說會將執行構成 Team Foundation 應用程式層之邏輯元件的伺服器稱為 Team Foundation 應用程式層伺服器,並將執行構成 Team Foundation 資料層之邏輯元件的伺服器稱為 Team Foundation 資料層伺服器。視您的部署設定而定,Team Foundation 應用程式層伺服器和 Team Foundation 資料層伺服器可以是相同的實體伺服器,也可以是一部或多部不同的實體伺服器。如需詳細資訊,請參閱《Team Foundation 安裝指南》。您可以從 Microsoft 下載中心下載最新版的《Team Foundation 安裝指南》(https://www.microsoft.com/downloads/details.aspx?displaylang=zh-tw&FamilyID=ff12844f-398c-4fe9-8b0d-9e84181d9923)。

  • 您必須要有可用的憑證授權單位 (CA),才能發行憑證。本逐步解說假設您是使用 Microsoft 憑證服務當做您的 CA;如果您沒有憑證授權單位,可以安裝 Microsoft 憑證服務並設定憑證授權單位。如需詳細資訊,請參閱 Microsoft 網站 (https://go.microsoft.com/fwlink/?LinkId=70929) (英文)。

必要的使用權限

您必須是 Team Foundation 應用程式層和資料層伺服器的 [Administrators] 群組成員以及 Team Foundation 的 [Administrators] 群組成員,才能完成這個程序。若要設定 SSL 連線的組建代理程式,則您必須是組建電腦的 Administrators 群組成員。如需使用權限的詳細資訊,請參閱 Team Foundation Server 使用權限

假設

本逐步解說將假設下列項目:

  • Team Foundation 資料層伺服器和 Team Foundation 應用程式層伺服器已安裝並部署於安全的環境下,並且根據安全性最佳作法進行設定。

  • 使用 SSL 設定 Team Foundation 的系統管理員應該熟悉公開金鑰基礎結構 (PKI) 和憑證,包括如何要求、發出和指派憑證。如需 PKI 和憑證的詳細資訊,請參閱 Microsoft 網站 (https://go.microsoft.com/fwlink/?LinkId=70930)。

  • 系統管理員對於如何設定網際網路資訊服務 (IIS)、Microsoft SQL Server 和網路設定很熟悉,並且對於部署環境的網路拓撲擁有實作經驗。

  • 若要設定組建代理程式進行 SSL 連接:

    • Team Foundation Build 和 Team 總管必須先加以安裝並運作。

    • 必須已發出組建代理程式的憑證。

    • [Windows 支援工具] 已安裝在建置電腦上。建立憑證與 IP 位址和通訊埠的關聯時,需要這些工具。如需詳細資訊,請參閱 Windows Support Tools (https://go.microsoft.com/fwlink/?LinkId=93827) (英文)。

安裝 Microsoft 憑證服務

本逐步解說會使用 Microsoft 憑證服務當做發行憑證的憑證授權單位 (CA)。為了方便本逐步解說進行,憑證服務已安裝在 Team Foundation 應用程式層伺服器上,不過,您還是可以選擇自己的憑證授權單位軟體,以及最符合您業務需求的部署組態。就安全性而言,當您在實際執行部署中部署憑證服務時,應該考慮隔離根憑證授權單位。在只有安全性系統管理員可以使用的設備中實際隔離 CA 伺服器,可大幅降低竄改的風險。如需憑證服務功能和最佳作法的詳細資訊,請參閱 Microsoft 網站 (https://go.microsoft.com/fwlink/?LinkId=70929)。

警告:

一旦您安裝了憑證服務之後,將無法變更電腦名稱或是電腦登記所在的網域;如果您變更了電腦名稱或網域,則從憑證授權單位 (CA) 發出的憑證將會失效。

若要安裝憑證服務

  1. 依序按一下 [開始]、[控制台],然後選取 [新增或移除程式]。

  2. 按一下 [新增/移除 Windows 元件]。

  3. 在 [Windows 元件精靈] 的 [元件] 清單中按一下 [憑證服務]。

  4. 檢閱訊息方塊中的文字,然後按一下 [是]。

  5. 按 [下一步],開始安裝。

  6. 在 [CA 類型] 頁面上選取 [獨立根 CA],然後按 [下一步]。

  7. 在 [CA 識別資訊] 頁面的 [這個憑證授權單位的一般名稱] 中輸入電腦的名稱。

  8. 在 [有效期間] 中,將憑證的有效期間變更為六 (6) 個月,然後按 [下一步]。

  9. 在 [憑證資料庫設定] 頁面上按 [下一步],而不進行任何變更。

    此時會出現一個訊息方塊,表示必須停止 IIS。

  10. 在訊息方塊中,按一下 [是]。

    此時會出現 [設定元件] 頁面。

  11. 如果出現的訊息方塊中有包含 Active Server Pages (ASP) 的相關資訊,請按一下 [是]。

  12. 按一下 [完成]。

為 Team Foundation Server 網站建立憑證要求

在應用程式層電腦上,您必須使用 Internet Information Services (IIS) 管理員來建立 Team Foundation 的憑證要求。

若要為 Team Foundation Server 網站建立憑證要求

  1. 依序按一下 [開始]、[系統管理工具],然後按一下 [網際網路資訊服務 (IIS) 管理員]。

  2. 展開 [computername (本機電腦)],然後展開 [網站]。

  3. 以滑鼠右鍵按一下 [Team Foundation Server],然後再按 [屬性]。

  4. 在 [Team Foundation Server 屬性] 中,按一下 [目錄安全性] 索引標籤。

  5. 按一下 [安全通訊] 底下的 [伺服器憑證]。

    [Web 伺服器憑證精靈] 隨即顯示。按 [下一步]。

  6. 在 [伺服器憑證] 頁面中,按一下 [建立新憑證],然後按 [下一步]。

  7. 在 [延遲或立即要求] 頁面上,按一下 [下一步]。

  8. 在 [名稱及安全設定] 頁面上按 [下一步],而不進行任何變更。

  9. 在 [公司資訊] 頁面上指定 [組織] 和 [組織單位] 的值;例如,輸入公司的名稱當做 [組織],然後輸入團隊或小組名稱當做 [組織單位]。按 [下一步]。

  10. 在 [您站台的公用名稱] 頁面上按 [下一步],而不進行任何變更。

  11. 在 [地理資訊] 頁面上,於 [國家/地區]、[省/州] 和 [城市/位置] 方塊中指定適當的資訊,然後按 [下一步]。

  12. 在 [憑證要求檔案名稱] 頁面的 [檔案名稱] 之下,指定您希望儲存憑證要求檔的位置及該檔的名稱,然後按 [下一步]。

    注意事項:

    務必將憑證要求檔儲存到網路共用或其他可從 CA 電腦存取的位置。

  13. 檢閱 [要求的檔案摘要] 頁面上所列出的資訊,然後按 [下一步]。

  14. 按一下 [完成]。

  15. 按一下 [確定],結束 [Team Foundation Server 屬性] 對話方塊。

發行憑證要求及建立二進位憑證檔

在您建立了憑證要求之後,您必須透過 CA (此例中即為 Microsoft 憑證服務) 根據此要求發行憑證;一旦建立憑證之後,您即可利用 IIS 將此憑證指派給適當的網站。

若要使用 Microsoft 憑證服務發出憑證要求

  1. 依序按一下 [開始]、[系統管理工具],然後按一下 [憑證授權單位]。

  2. 在 [總管] 窗格中,以滑鼠右鍵按一下電腦名稱、選取 [所有工作],然後按一下 [提交新要求]。

  3. 在 [開啟要求檔案] 對話方塊中,找出您在上一個程序中所建立的憑證要求文字檔,然後按一下 [開啟]。

  4. 在 [總管] 窗格中,展開電腦名稱,然後按一下 [擱置要求]。

  5. 記下此擱置要求的 [要求 ID] 值。

  6. 以滑鼠右鍵按一下此要求,並選取 [所有工作],然後按一下 [發行]。

  7. 在 [總管] 視窗中,於電腦名稱底下選取 [發出的憑證],然後檢閱列出的憑證並確認所發出的憑證確實符合此要求的 [要求 ID] 值。

  8. 在 [發出的憑證] 中,以滑鼠右鍵按一下發出的憑證,並選取 [所有工作],然後按一下 [匯出二進位資料]。

  9. 在 [含有二進位資料的欄位] 中,選取 [二進位檔案憑證]。在 [匯出選項] 之下,選取 [將二進位資料儲存到檔案],然後按一下 [確定]。

  10. 在 [儲存二進位資料] 中,將此檔案儲存至可攜式媒體裝置或 Team Foundation 應用程式層電腦可以存取的網路共用。

  11. 結束 [憑證授權單位]。

安裝及指派憑證

您必須先在 Team Foundation 網站上安裝伺服器憑證,然後在 Team Foundation 相關的網站上設定 HTTPS,才能搭配使用 SSL 與 Team Foundation。這些相關的網站包含下列項目:

  • 預設網站

  • SharePoint 管理中心

  • 報告伺服器

安裝伺服器憑證

請遵循下列步驟,在 Team Foundation 上安裝伺服器憑證。

若要在 Team Foundation Server 網站上安裝伺服器憑證

  1. 在 Team Foundation 應用程式層伺服器上,依序按一下 [開始]、[系統管理工具],然後按一下 [Internet Information Services (IIS) 管理員]。

  2. 展開 [<computername> (本機電腦)],然後展開 [網站]。

  3. 以滑鼠右鍵按一下 [Team Foundation Server],然後再按 [屬性]。

  4. 在 [Team Foundation Server 屬性] 中,按一下 [目錄安全性] 索引標籤。

  5. 按一下 [安全通訊] 底下的 [伺服器憑證]。

    [Web 伺服器憑證精靈] 隨即顯示。按 [下一步]。

  6. 在 [擱置的憑證要求] 頁面上選取 [處理擱置要求及安裝憑證],然後按 [下一步]。

  7. 在 [處理擱置要求] 頁面上,按一下 [瀏覽]。

  8. 在 [開啟] 對話方塊的 [檔案類型] 之下,從下拉式清單中選取 [所有檔案 (*.*)],然後找出您在上一個程序中儲存此二進位檔案憑證的所在目錄。選取此二進位憑證檔,然後按一下 [開啟]。

  9. 在 [處理擱置要求] 頁面上,按 [下一步]。

  10. 在 [SSL 通訊埠] 頁面中,接受預設值或輸入新值,再按 [下一步]。SSL 連線的預設通訊埠是 443,但是您必須為下列三個網站分別指派唯一的通訊埠值:Team Foundation Server 網站、預設網站和 SharePoint 管理中心網站。

    重要事項:

    請考慮使用預設通訊埠以外的通訊埠編號,因為使用預設的通訊埠編號可能會降低部署的安全性。記下您所指派的 SSL 通訊埠值。接受預設值之前,請確定目前沒有其他伺服器憑證使用此通訊埠。您所安裝之每個伺服器憑證的 SSL 通訊埠值都必須不同。例如,如果原本未使用預設通訊埠 443,而您接受了 Team Foundation 網站的預設通訊埠值 443,就必須針對預設網站和 SharePoint 管理中心網站指派不同的通訊埠值。

  11. 檢閱 [憑證摘要] 頁面的相關資訊,然後按 [下一步]。

  12. 按一下 [完成]。

  13. 在 [目錄安全性] 索引標籤上,按一下 [驗證及存取控制] 底下的 [編輯]。

  14. 在 [驗證方法] 中,確定已清除 [啟用匿名存取] 方塊。根據您部署的適用情況而定,在 [驗證的存取] 中,選取 [整合式 Windows 驗證] 和 [Windows 網域伺服器的摘要式驗證]、[基本驗證] 或兩者都選取。清除任何其他選項,然後按一下 [確定]。如需驗證方法和 Team Foundation Server 的詳細資訊,請參閱 Team Foundation Server、基本驗證和摘要式驗證

    注意事項:

    按一下 [Windows 網域伺服器的摘要式驗證] 之後,系統可能會提示您確認決定。請閱讀文字,然後按一下 [是]。
    重要事項:

    您必須正確地設定摘要式驗證。否則,嘗試存取 Team Foundation Server 會失敗。如果部署並未達到摘要式驗證的所有要求,請勿選擇摘要式驗證。如需摘要式驗證的詳細資訊,請參閱 Microsoft 網站 (https://go.microsoft.com/fwlink/?LinkId=89709) (英文)。

  15. 按一下 [確定] 關閉 [Team Foundation Server 屬性] 對話方塊。

    注意事項:

    如果按一下 [確定] 之後顯示 [繼承覆寫] 對話方塊,請按一下 [全選],然後按一下 [確定]。

將憑證指派給預設的網站

請遵循下列步驟,以便在 IIS 的預設網站上設定 HTTPS。

注意事項:

視您的憑證階層架構和公開金鑰基礎結構而定,您可能也需要設定 IIS,以進行用戶端憑證驗證。如需詳細資訊,請參閱 Microsoft 網站上的憑證 (IIS 6.0) (英文)、憑證服務 (英文) 和憑證 (英文)。

若要在預設的網站上設定 HTTPS

  1. 在 Team Foundation 應用程式層伺服器上,依序按一下 [開始]、[系統管理工具],然後按一下 [Internet Information Services (IIS) 管理員]。

  2. 展開 [<computername> (本機電腦)],然後展開 [網站]。

  3. 以滑鼠右鍵按一下 [預設的網站],然後按一下 [內容]。

  4. 在 [預設的網站內容] 中,按一下 [目錄安全性] 索引標籤。

  5. 按一下 [安全通訊] 底下的 [伺服器憑證]。

    [Web 伺服器憑證精靈] 隨即顯示。按 [下一步]。

  6. 在 [伺服器憑證] 頁面中,選取 [指派已有的憑證],然後按 [下一步]。

  7. 在 [可用的憑證] 頁面中,選取其 [易記名稱] 值為 [Team Foundation Server] 的憑證。您可能必須在清單中捲動,才能看到 [易記名稱] 資料行。按 [下一步]。

  8. 在 [SSL 通訊埠] 頁面中,接受預設值或輸入新值,再按 [下一步]。SSL 連線的預設通訊埠是 443,但是您必須為下列三個網站分別指派唯一的通訊埠值:Team Foundation Server 網站、預設網站和 SharePoint 管理中心網站。

    重要事項:

    請考慮使用預設通訊埠以外的通訊埠編號,因為使用預設的通訊埠編號可能會降低部署的安全性。記下 SSL 通訊埠值。您所安裝之每個伺服器憑證的 SSL 通訊埠值都必須不同。例如,如果您接受 Team Foundation 網站的預設通訊埠值 443,就必須針對預設網站和 SharePoint 管理中心網站指派不同的通訊埠值。

  9. 檢閱 [憑證摘要] 頁面的相關資訊,然後按 [下一步]。

  10. 按一下 [完成]。此精靈將會關閉。

  11. 在 [目錄安全性] 索引標籤上,按一下 [驗證及存取控制] 底下的 [編輯]。

  12. 在 [驗證方法] 中,確定已清除 [啟用匿名存取] 方塊。根據您部署的適用情況而定,在 [驗證的存取] 中,選取 [整合式 Windows 驗證] 和 [Windows 網域伺服器的摘要式驗證]、[基本驗證] 或兩者都選取。清除任何其他選項,然後按一下 [確定]。如需驗證方法和 Team Foundation Server 的詳細資訊,請參閱 Team Foundation Server、基本驗證和摘要式驗證

    注意事項:

    按一下 [Windows 網域伺服器的摘要式驗證] 之後,系統可能會提示您確認決定。請閱讀文字,然後按一下 [是]。

  13. 按一下 [確定] 關閉 [預設的網站內容] 對話方塊。

    注意事項:

    如果按一下 [確定] 之後顯示 [繼承覆寫] 對話方塊,請按一下 [全選],然後按一下 [確定]。

將憑證指派給 SharePoint 管理中心

請遵循下列步驟,以便為 SharePoint 管理中心設定 HTTPS。

若要為 SharePoint 管理中心設定 HTTPS

  1. 在 Team Foundation 應用程式層伺服器上,依序按一下 [開始]、[系統管理工具],然後按一下 [Internet Information Services (IIS) 管理員]。

  2. 展開 [<computername> (本機電腦)],然後展開 [網站]。

  3. 以滑鼠右鍵按一下 [SharePoint 管理中心],再按 [內容]。

  4. 在 [SharePoint 管理中心內容] 中,按一下 [目錄安全性] 索引標籤。

  5. 按一下 [安全通訊] 底下的 [伺服器憑證]。

    [Web 伺服器憑證精靈] 隨即顯示。按 [下一步]。

  6. 在 [伺服器憑證] 頁面中,選取 [指派已有的憑證],然後按 [下一步]。

  7. 在 [可用的憑證] 頁面中,選取其 [易記名稱] 值為 [Team Foundation Server] 的憑證。您可能必須在清單中捲動,才能看到 [易記名稱] 資料行。

  8. 按 [下一步]。

  9. 在 [SSL 通訊埠] 頁面中,接受預設值或輸入新值,再按 [下一步]。SSL 連線的預設通訊埠是 443,但是您必須為下列三個網站分別指派唯一的通訊埠值:Team Foundation Server 網站、預設網站和 SharePoint 管理中心網站。

    重要事項:

    請考慮使用預設通訊埠以外的通訊埠編號,因為使用預設的通訊埠編號可能會降低部署的安全性。記下 SSL 通訊埠值。您所安裝之每個伺服器憑證的 SSL 通訊埠值都必須不同。例如,如果您接受 Team Foundation 網站的預設通訊埠值 443,就必須針對預設網站和 SharePoint 管理中心網站指派不同的通訊埠值。
    注意事項:

    記下這個值,因為您將會需要它來指派憑證給 SQL Report Server。

  10. 檢閱 [憑證摘要] 頁面的相關資訊,然後按 [下一步]。

  11. 按一下 [完成]。

設定 ISAPI 篩選器

您必須在屬於 Team Foundation SP1 一部分之 AuthenticationFilter.dll 檔所在的相同目錄中建立 ISAPI 初始設定檔案 (Initialization File)。此外,您也必須將 ISAPI 篩選器加入至登錄。

若要設定 ISAPI 篩選器

  1. 在 Team Foundation 應用程式層伺服器上,依序按一下 [開始]、[程式集]、[附屬應用程式],然後按一下 [記事本]。

  2. 在 [記事本] 中,建立下列檔案,其中 ProxyAddress 是想要使用 HTTPS/SSL 以及基本驗證和 (或) 摘要式驗證連線至 Team Foundation 之外部網路流量來源的 IP 位址 (通常是路由器),而 SubnetMask 是不想要強制執行基本驗證或摘要式驗證的 IP 位址/子網路遮罩組。

    重要事項:

    如果您將 ProxyIPList 機碼加入至此檔案,系統就會忽略 SubnetList 機碼及其值。如需詳細資訊,請參閱 Team Foundation Server、基本驗證和摘要式驗證
    注意事項:

    您可以針對 ProxyAddress 或 SubnetMask 設定一個以上的值。請使用分號隔開 ProxyAddress 或 SubnetMask 的值。

    [config]

    RequireSecurePort=false

    ProxyIPList=ProxyAddress;

    SubnetList=SubnetMask;

  3. 將這個檔案以 AuthenticationFilter.ini 名稱儲存在與 AuthenticationFilter.dll 相同的目錄中。這個目錄是 drive:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\Tools。

    重要事項:

    請勿變更 AuthenticationFilter.ini 檔或 the AuthenticationFilter.dll 檔的目錄。如果您這樣做,可能會在從 Team Foundation SP1 升級至 Team Foundation SP1 時發生問題。

  4. 開啟 [命令提示字元] 視窗。若要開啟 [命令提示字元],請依序按一下 [開始]、[執行]、輸入 cmd,然後按一下 [確定]。

    注意事項:

    即使您已使用管理認證登入,還是必須開啟較高權限的命令提示字元,在執行 Windows Server 2008 的伺服器上執行此函式。若要開啟較高權限的命令提示字元,請按一下 [開始],以滑鼠右鍵按一下 [命令提示字元],再按一下 [以系統管理員身分執行]。如需詳細資訊,請參閱 Microsoft 網站 (英文)。

  5. 請在命令提示字元中輸入下列命令:

    reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v EventMessageFile /t REG_SZ /d %windir%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll /f

  6. 請在命令提示字元中輸入下列命令:

    reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v TypesSupported /t REG_DWORD /d 7 /f

  7. 在 Team Foundation 應用程式層伺服器上,依序按一下 [開始]、[系統管理工具],然後按一下 [Internet Information Services (IIS) 管理員]。

  8. 展開 [<computername> (本機電腦)]、展開 [網站]、以滑鼠右鍵按一下 [Team Foundation Server],然後按一下 [內容]。

  9. 在 [預設的網站內容] 中,按一下 [ISAPI 篩選器] 索引標籤。

  10. 在 [ISAPI 篩選器] 底下,按一下 [新增]。

  11. 在 [新增/編輯篩選器內容] 的 [篩選器名稱] 中,輸入 TFAuthenticationFilter、在 [執行檔] 中輸入 drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup\AuthenticationFilter.dll**,然後按一下 [確定]。

將防火牆設定為允許 SSL 流量

您必須針對預設的網站、Team Foundation 網站以及 SharePoint 管理中心網站,將防火牆設定為允許 IIS 中指定之 SSL 通訊埠的傳輸。

注意事項:

將防火牆設定為允許 SSL 流量的程序會因您在部署中使用的防火牆軟體和硬體而有所不同。

若要將防火牆設定為允許 Team Foundation Server 所使用之 SSL 通訊埠上的網路流量

  • 若要決定允許針對預設網站、Team Foundation 網站以及 SharePoint 管理中心網站指定之 SSL 通訊埠網路流量所需的步驟,請參閱防火牆產品文件。

使用 TFSConfigWss 命令列工具更新 SQL Report Server 的 Team 專案

請依照下列步驟來更新 SQL Report Server 的 Team 專案網站,讓報表能夠正確顯示在 Team 專案入口網站上。

若要更新 SQL Report Server 的 Team 專案網站

  1. 在 Team Foundation 的應用程式層伺服器上,開啟 [命令提示字元] 視窗,並將目錄變更為 Drive:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools。

  2. 在命令提示字元中輸入下列命令,並取代這些字串:

    • SharePointSite 是 SharePoint 產品和技術網站集合的新 Uniform Resource Indicator (URI)。

    • Reports 是 SQL Server Reporting Services 的新 URI。

    • ReportServer 是 ReportsService.asmx Web 服務的新 URI。

      **TfsConfigWss ConfigureReporting /SharepointSitesUri:SharePointSite/ReportsUri:Reports/ReportServerUri:**ReportServer

更新 Team Foundation Server 組態資訊

請遵循下列步驟,使用 Windows SharePoint Services 和 Reporting Services 網站的 HTTPS URL 值來更新組態資訊。

若要更新 Team Foundation Server 的組態資訊

  1. 在 Team Foundation 應用程式層伺服器上,開啟 [命令提示字元] 視窗,並將目錄切換至 Drive:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools。

  2. 在命令提示字元中輸入下列命令,並取代這些字串:

    • BaseServerURL 是 Team Foundation 應用程式層伺服器之 Web 伺服器的新 URI。

    • BaseSiteURL 是應用程式層伺服器之預設網站的新 URI。

    • SharePointSite 是 SharePoint 產品和技術網站集合的新 URI。

    • SharePointAdministration 是 SharePoint 管理中心網站的新 URI。

    • Reports 是 SQL Server Reporting Services 的新 URI。

    • ReportServer 是 ReportsService.asmx Web 服務的新 URI。

      TfsAdminUtil ConfigureConnections /ATUri:BaseServerURL/SharepointUri:BaseSiteURL**/SharepointSitesUri:SharePointSite/SharepointAdminUri:SharePointAdministration/ReportsUri:Reports/ReportServerUri:**ReportServer

    注意事項:

    如果使用具名執行個體,則需要指定該具名執行個體做為 Reports 和 ReportServer 值的一部分。請不要消除或變更具名執行個體的名稱。

    例如,如果您將通訊埠 443 指定為 Team Foundation 網站 SSL 通訊埠值、將 1443 指定為 IIS 中的預設網站 SSL 通訊埠值,並將 2443 指定為 SharePoint 管理中心通訊埠值,而且應用程式層伺服器命名為 Contoso1,請如下修改這些值:

    **TfsAdminUtil ConfigureConnections /ATUri:**https://Contoso1:443 **/SharepointUri:**https://Contoso1:1443 /SharepointSitesUri:https://Contoso1:1443/Sites/SharepointAdminUri:https://Contoso1:2443 /ReportsUri:https://Contoso1:1443/Reports/ReportServerUri:https://Contoso1:1443/ReportServer

    注意事項:

    ConfigureConnections 命令具有多種額外的選項,例如,更新電子郵件警示中所用的公用 (Public) 網站位址。如需詳細資訊,請參閱 ConfigureConnections 命令

在組建電腦上安裝憑證

如果您在一或多部伺服器上安裝了 Build Services,就必須在每部伺服器上安裝憑證。

注意事項:

為了要透過 SSL 執行建置,此憑證必須同時安裝在下列電腦之受信任的根存放區中:執行建置服務之帳戶的建置電腦,和啟始建置的電腦。

若要在組建電腦上安裝憑證

  1. 使用該電腦上 Administrators 群組成員的帳戶,登入組建電腦。

  2. 開啟瀏覽器並開啟下列網站,其中 CertificateServer 是憑證伺服器的名稱,而 port 是您指派給憑證授權單位的 SSL 通訊埠編號:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  3. 安全性訊息對話方塊隨即顯示。在 [安全性警示] 中,按一下 [檢視憑證]。

  4. 在 [憑證] 對話方塊中,按一下 [憑證路徑] 索引標籤。

  5. 在 [憑證路徑] 中,按一下憑證授權單位。這個憑證授權單位應該是憑證階層架構的最上層節點,而且名稱旁邊應該會有一個紅色的 X。這表示該憑證授權單位不受信任,因為它不在 [受信任的根憑證授權單位] 存放區中。按一下 [檢視憑證]。

  6. 在 [憑證] 對話方塊中,按一下 [安裝憑證]。

    [憑證匯入精靈] 隨即開啟。按 [下一步]。

  7. 在 [憑證存放區] 頁面上,選取 [將所有憑證放入以下的存放區],然後按一下 [瀏覽]。

  8. 在 [選擇憑證存放區] 中,選取 [顯示實體存放區]。在 [選取您要使用的憑證存放區] 中,展開 [受信任的根憑證授權單位]、選取 [本機電腦],然後按一下 [確定]。

  9. 在 [憑證存放區] 頁面上,按 [下一步]。

  10. 在 [完成憑證匯入精靈] 頁面上,按一下 [完成]。

  11. [憑證匯入精靈] 對話方塊可能會顯示,確認匯入是否成功。如果顯示此對話方塊,請按一下 [確定]。

  12. 在 [憑證] 對話方塊中,按一下 [確定]。憑證階層架構最上層節點的 [憑證] 對話方塊將會關閉。

  13. 在 [憑證] 對話方塊中,按一下 [確定]。從屬憑證的 [憑證] 對話方塊將會關閉。

  14. 在 [安全性警示] 中,按一下 [否]。

  15. 開啟瀏覽器並開啟下列網站,其中 CertificateServer 是憑證伺服器的名稱,而 port 是您指派給憑證授權單位的 SSL 通訊埠編號:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  16. [ServerStatus Web 服務] 頁面應該會開啟。這個頁面會確認您是否已正確安裝憑證和憑證授權單位。關閉瀏覽器。

設定 SSL 連線的組建代理程式

若要設定 SSL 連線的組建代理程式,您必須為每一個 IP 位址和通訊埠組合設定 HTTPS 憑證。如果所有組建代理程式共用建置電腦上的同一個通訊埠,您必須僅設定單一憑證。如果您在多個通訊埠上執行多個組建代理程式,則必須為每一個通訊埠設定憑證。

請依序執行下列工作,將組建代理程式設定為需要 SSL:

  1. 建立組建代理程式並設定為需要 HTTPS。

  2. 停止 Visual Studio Team Foundation Build 服務。

  3. 將建置服務組態修改為需要 HTTPS。

  4. 建立憑證與 IP 位址和通訊埠的關聯。

  5. 設定組建代理程式的通訊埠和通訊協定。

  6. 重新啟動 Visual Studio Team Foundation Build 服務。

  7. 驗證 SSL 組態。

將組建代理程式設定為需要 HTTPS

  1. 開啟 [管理組建代理程式] 對話方塊,並選取 [必須有安全通道 (HTTPS)] 核取方塊。

    如需詳細資訊,請參閱 HOW TO:建立和管理組建代理程式

  2. 按一下 [編輯]。

    [組建代理程式屬性] 對話方塊隨即出現。

  3. 在 [代理程式狀態] 清單中,按一下 [停用]。

停止 Visual Studio Team Foundation Build 服務

  1. 使用該電腦上 Administrators 群組成員的帳戶,登入組建電腦。

  2. 在組建電腦上,依序按一下 [開始]、[控制台]、[系統管理工具],再按一下 [服務]。

  3. 在 [服務 (本機)] 窗格中,以滑鼠右鍵按一下 [Visual Studio Team Foundation Build],然後按一下 [屬性]。

    [Visual Studio Team Foundation Build 內容 (本機電腦)] 對話方塊隨即開啟。

  4. 按一下 [服務狀態] 下的 [停止]。

若要將組建服務組態修改為需要 HTTPS

  1. 使用該電腦上 Administrators 群組成員的帳戶,登入組建電腦。

  2. 開啟 Drive:\Program Files\Microsoft Visual Studio 2008\Common7\IDE\PrivateAssemblies,並以滑鼠右鍵按一下 TfsBuildservice.config.exe,然後按一下 [開啟]。

    檔案會在 Visual Studio 的 XML 編輯器中開啟。

  3. 在 <appSettings> 區段中,將 RequireSecureChannel 索引鍵的值變更為 "true"。例如,將索引鍵定義變更為下列字串:

    <add key="RequireSecureChannel" value="true" />

  4. 儲存您做的變更,然後關閉檔案。

設定 SSL 憑證與 IP 位址和通訊埠號碼的關聯

  1. 使用該電腦上的 Administrators 群組成員之帳戶,登入建置電腦。

  2. 使用 Certificates 嵌入式管理單元,尋找專為用戶端驗證目的提供的 X.509 憑證。

    如需詳細資訊,請參閱<How To:擷取憑證指模>(https://go.microsoft.com/fwlink/?LinkId=93828) (英文)。

  3. 將憑證的指模複製到文字編輯器中,例如 [記事本]。

  4. 移除十六進位字元之間的所有空格。

    您可以使用文字編輯器的尋找和取代功能,將每個空格取代為 null 字元,以執行這項工作。

  5. 在建置電腦上,依序按一下 [開始]、[所有程式]、[Windows 支援工具] 和 [命令提示字元]。

  6. 在 SSL 存放區上以 "set" 模式執行 HttpCfg.exe 工具,將憑證繫結至通訊埠編號。這個工具會使用指模識別憑證,如以下範例中所示:

    httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces

    /i 參數具有 IPAddress:Port 語法,並且會指示工具將憑證設為組建電腦的通訊埠 9191。為單純起見,IP 位址 0.0.0.0 會保留所有電腦位址。如果您需要其他精確內容,請指定發行代理程式服務的確實 IP 位址。/h 參數會指定憑證的指模。

    如果必須交涉用戶端憑證,則請加入 /f 2 參數 (如下列範例所示):

    httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces /f 2

    如需 HttpCfg.exe 命令語法的詳細資訊,請參閱<How To:設定具有 SSL 憑證的通訊埠>(https://msdn2.microsoft.com/zh-tw/library/ms733791.aspx)。

設定組建代理程式通訊埠和通訊協定

  1. 在命令提示字元中執行 wcfhttpconfigfreePortNumber。命令陳述式應類似以下字串:

    wcfhttpconfig free OldPortForHttp

    如需詳細資訊,請參閱 wcfhttpconfig (Team Foundation Build)

  2. 在命令提示字元中執行 wcfhttpconfigreserveUserAccountURL。命令陳述式應類似以下內容:

    wcfhttpconfig reserve Domain\Account https://+Computer:NewPortForHttps/Build/v2.0/AgentService.asmx

  3. 將通訊埠加入 Windows 防火牆的例外狀況清單。

重新啟動 Visual Studio Team Foundation Build 服務

  1. 使用該電腦上的 Administrators 群組成員之帳戶,登入建置電腦。

  2. 在組建電腦上,依序按一下 [開始]、[控制台]、[系統管理工具],再按一下 [服務]。

  3. 在 [服務 (本機)] 窗格中,以滑鼠右鍵按一下 [Visual Studio Team Foundation Build],然後按一下 [屬性]。

    [Visual Studio Team Foundation Build 內容 (本機電腦)] 對話方塊隨即開啟。

  4. 按一下 [服務狀態] 下的 [啟動]。

驗證 SSL 組態

  1. 開啟 [管理組建代理程式] 對話方塊。

    如需詳細資訊,請參閱 HOW TO:建立和管理組建代理程式

  2. 按一下 [編輯]。

    [組建代理程式屬性] 對話方塊隨即出現。

  3. 在 [代理程式狀態] 清單中,按一下 [啟用]。

  4. 驗證通訊是否透過使用組建代理程式執行組建而發生。

    如需詳細資訊,請參閱 HOW TO:佇列或啟動組建定義

在 Team Foundation Server Proxy 電腦上安裝憑證

如果您將 Team Foundation Proxy 安裝在一部或多部電腦上,就必須分別在這些電腦上安裝憑證。

注意事項:

除了下面的程序以外,還必須設定 Proxy 電腦的所有防火牆,使其允許指定給 Team Foundation Server 之 SSL 通訊埠的流量通過。透過這種方式設定防火牆的程序,會根據部署中所使用的防火牆軟體和硬體而不同。

若要在 Team Foundation Server Proxy 電腦上安裝憑證

  1. 使用該電腦上 [Administrators] 群組成員的帳戶,登入 Team Foundation Proxy 伺服器。

  2. 開啟瀏覽器並開啟下列網站,其中 CertificateServer 是憑證伺服器的名稱,而 port 是您指派給憑證授權單位的 SSL 通訊埠編號:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  3. 安全性訊息對話方塊隨即顯示。在 [安全性警示] 中,按一下 [檢視憑證]。

  4. 在 [憑證] 對話方塊中,按一下 [憑證路徑] 索引標籤。

  5. 在 [憑證路徑] 中,按一下憑證授權單位。這個憑證授權單位應該是憑證階層架構的最上層節點,而且名稱旁邊應該會有一個紅色的 X。這表示該憑證授權單位不受信任,因為它不在 [受信任的根憑證授權單位] 存放區中。按一下 [檢視憑證]。

  6. 在 [憑證] 對話方塊中,按一下 [安裝憑證]。

    [憑證匯入精靈] 隨即開啟。按 [下一步]。

  7. 在 [憑證存放區] 頁面上,選取 [將所有憑證放入以下的存放區],然後按一下 [瀏覽]。

  8. 在 [選擇憑證存放區] 中,選取 [顯示實體存放區]。在 [選取您要使用的憑證存放區] 中,展開 [受信任的根憑證授權單位]、選取 [本機電腦],然後按一下 [確定]。

  9. 在 [憑證存放區] 頁面上,按 [下一步]。

  10. 在 [完成憑證匯入精靈] 頁面上,按一下 [完成]。

  11. [憑證匯入精靈] 對話方塊可能會顯示,確認匯入是否成功。如果顯示此對話方塊,請按一下 [確定]。

  12. 在 [憑證] 對話方塊中,按一下 [確定]。憑證階層架構最上層節點的 [憑證] 對話方塊將會關閉。

  13. 在 [憑證] 對話方塊中,按一下 [確定]。從屬憑證的 [憑證] 對話方塊將會關閉。

  14. 在 [安全性警示] 中,按一下 [否]。

  15. 開啟瀏覽器並開啟下列網站,其中 CertificateServer 是憑證伺服器的名稱,而 port 是您指派給憑證授權單位的 SSL 通訊埠編號:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  16. [ServerStatus Web 服務] 頁面應該會開啟。這個頁面會確認您是否已正確安裝憑證和憑證授權單位。關閉瀏覽器。

在用戶端電腦上安裝憑證

每部用戶端電腦都必須在本機上安裝憑證,才能存取 Team Foundation。此外,如果用戶端電腦之前存取過 Team Foundation Team 專案,則必須先清除使用該電腦連接至 Team Foundation 之每位使用者的用戶端快取,然後該使用者才能連接至 Team Foundation。

重要事項:

請勿針對安裝在執行 Team Foundation Server 之伺服器的 Team Foundation 用戶端執行此程序。

若要在 Team Foundation 用戶端電腦上安裝憑證

  1. 使用 Team Foundation 用戶端電腦上 [Administrators] 群組成員的帳戶,登入該電腦。

  2. 開啟瀏覽器並開啟下列網站,其中 CertificateServer 是憑證伺服器的名稱,而 port 是您指派給憑證授權單位的 SSL 通訊埠編號:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  3. 安全性訊息對話方塊隨即顯示。在 [安全性警示] 中,按一下 [檢視憑證]。

  4. 在 [憑證] 對話方塊中,按一下 [憑證路徑] 索引標籤。

  5. 在 [憑證路徑] 中,按一下憑證授權單位。這個憑證授權單位應該是憑證階層架構的最上層節點,而且名稱旁邊應該會有一個紅色的 X。這表示該憑證授權單位不受信任,因為它不在 [受信任的根憑證授權單位] 存放區中。按一下 [檢視憑證]。

  6. 在 [憑證] 對話方塊中,按一下 [安裝憑證]。

    [憑證匯入精靈] 隨即開啟。按 [下一步]。

  7. 在 [憑證存放區] 頁面上,選取 [將所有憑證放入以下的存放區],然後按一下 [瀏覽]。

  8. 在 [選擇憑證存放區] 中,選取 [顯示實體存放區]。在 [選取您要使用的憑證存放區] 中,展開 [受信任的根憑證授權單位]、選取 [本機電腦],然後按一下 [確定]。

  9. 在 [憑證存放區] 頁面上,按 [下一步]。

  10. 在 [完成憑證匯入精靈] 頁面上,按一下 [完成]。

  11. [憑證匯入精靈] 對話方塊可能會顯示,確認匯入是否成功。如果顯示此對話方塊,請按一下 [確定]。

  12. 在 [憑證] 對話方塊中,按一下 [確定]。憑證階層架構最上層節點的 [憑證] 對話方塊將會關閉。

  13. 在 [憑證] 對話方塊中,按一下 [確定]。從屬憑證的 [憑證] 對話方塊將會關閉。

  14. 在 [安全性警示] 中,按一下 [否]。

  15. 開啟瀏覽器並開啟下列網站,其中 CertificateServer 是憑證伺服器的名稱,而 port 是您指派給憑證授權單位的 SSL 通訊埠編號:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  16. [ServerStatus Web 服務] 頁面應該會開啟。這個頁面會確認您是否已正確安裝憑證和憑證授權單位。關閉瀏覽器。

若要在 Team Foundation 用戶端電腦上清除快取區

  1. 使用您想要更新之使用者的使用者認證,登入 Team Foundation 用戶端電腦。

  2. 在 Team Foundation 用戶端電腦上,關閉所有已開啟的 Visual Studio 執行個體。

  3. 開啟瀏覽器並開啟下列資料夾:

    drive**:\Documents and Settings\username\Local Settings\Application Data\Microsoft\Team Foundation\2.0\Cache**

  4. 刪除快取目錄的內容。確定您已刪除所有子資料夾。

  5. 依序按一下 [開始]、[執行]、輸入 devenv /resetuserdata,然後按一下 [確定]。

  6. 針對存取 Team Foundation 之電腦上的每個使用者帳戶,重複這些步驟。

    注意事項:

    您可能會考慮將如何清除快取區的指示,散發給所有 Team Foundation 使用者,讓這些使用者自行清除快取區。

請參閱

概念

Team Foundation Server、HTTPS 和 Secure Sockets Layer (SSL)

其他資源

Team Foundation 管理逐步解說

使用 HTTPS 和 Secure Sockets Layer (SSL) 保護 Team Foundation Server