Exemplarische Vorgehensweise: Einrichten von Team Foundation Server für HTTPS und SSL (Secure Sockets Layer)

Aktualisiert: November 2007

Die folgende exemplarische Vorgehensweise zeigt, wie Sie Team Foundation-Clients so einrichten, dass sie HTTPS und SSL (Secure Sockets Layer) zum Herstellen einer Verbindung mit Visual Studio Team System 2008 Team Foundation Server verwenden. Sie müssen IIS (Internetinformationsdienste) zum Aktivieren von Standard- und/oder Digestauthentifizierung konfigurieren, um externe Verbindungen zu Ihren Team Foundation Server-Bereitstellungen zu unterstützen. Darüber hinaus müssen Sie einen ISAPI-Filter (Internet Server Application Programming Interface) konfigurieren.

Im Verlauf dieser exemplarischen Vorgehensweise führen Sie folgende Aufgaben aus:

  1. Erstellen einer Zertifikatsanforderung für Team Foundation Server-Websites

  2. Ausgeben der Zertifikatsanforderung und Erstellen der binären Zertifikatsdatei

  3. Installieren und Zuweisen des Zertifikats

  4. Konfigurieren von Team Foundation Server zur Verwendung von HTTPS und SSL

  5. Installieren des Zertifikats auf Clientcomputern

  6. Testen des Zertifikats

Vorbereitungsmaßnahmen

So führen Sie diese exemplarische Vorgehensweise durch

  • Die logischen Komponenten der Team Foundation-Datenebene und -Anwendungsebene von Team Foundation Server müssen installiert sein und ordnungsgemäß funktionieren. In dieser exemplarischen Vorgehensweise werden die Server, auf denen die logischen Komponenten der Team Foundation-Anwendungsebene ausgeführt werden, als Team Foundation-Anwendungsebenenserver bezeichnet. Der Server, auf dem die logischen Komponenten der Team Foundation-Datenebene ausgeführt werden, wird als Team Foundation-Datenebenenserver bezeichnet. Abhängig von der Konfiguration Ihrer Bereitstellung kann es sich bei dem Team Foundation-Anwendungsebenenserver und dem Team Foundation-Datenebenenserver um denselben physischen Server, aber auch um einen oder mehrere verschiedene physische Server handeln. Weitere Informationen finden Sie im Team Foundation-Installationshandbuch. Sie können die aktuelle Version des Team Foundation-Installationshandbuchs im Microsoft Download Center unter https://go.microsoft.com/fwlink/?linkid=79226 herunterladen.

  • Zur Ausstellung von Zertifikaten ist eine Zertifizierungsstelle erforderlich. In dieser exemplarischen Vorgehensweise wird davon ausgegangen, dass Sie Microsoft Zertifikatsdienste als Zertifizierungsstelle verwenden. Wenn keine Zertifizierungsstelle vorhanden ist, können Sie Microsoft-Zertifikatsdienste installieren und eine Zertifizierungsstelle konfigurieren. Weitere Informationen dazu finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkId=70929.

  • Voraussetzungen für die Konfiguration eines Build-Agent für SSL-Verbindungen:

    • Team Foundation Build und Team Explorer müssen installiert sein und ordnungsgemäß funktionieren.

    • Ein Zertifikat für den Build-Agent muss ausgegeben worden sein.

    • Die Windows-Supporttools müssen auf dem Buildcomputer installiert sein. Diese Tools sind notwendig, um der IP-Adresse und dem Port ein Zertifikat zuzuordnen. Weitere Informationen finden Sie unter "Windows Support Tools" (https://go.microsoft.com/fwlink/?LinkId=93827).

Erforderliche Berechtigungen

Um diese Schritte ausführen zu können, müssen Sie am Team Foundation-Anwendungsebenen- und -Datenebenenserver als Administrator angemeldet und Mitglied der Team Foundation-Administratorgruppe sein. Um einen Build-Agent für SSL-Verbindungen zu konfigurieren, müssen Sie Mitglied der Administratorgruppe des Buildcomputers sein. Weitere Informationen über Berechtigungen finden Sie unter Team Foundation Server-Berechtigungen.

Annahmen

Für diese exemplarische Vorgehensweise wird Folgendes vorausgesetzt:

  • Der Team Foundation-Datenebenenserver und der Team Foundation-Anwendungsebenenserver wurden in einer sicheren Umgebung installiert und bereitgestellt und entsprechend den empfohlenen Sicherheitsvorgehensweisen konfiguriert.

  • Der Administrator, der Team Foundation Server mit SSL konfiguriert, ist vertraut mit PKIs (Public Key Infrastructures) und Zertifikaten, einschließlich dem Anfordern, Ausstellen und Zuweisen von Zertifikaten. Weitere Informationen über PKI und Zertifikate finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkId=70930.

  • Der Administrator ist vertraut mit dem Konfigurieren von IIS (Internetinformationsdienste), Microsoft SQL Server und Netzwerkeinstellungen, und er hat Erfahrung mit der Netzwerktopologie der Entwicklungsumgebung.

Installieren von Microsoft Zertifikatsdienste

In dieser exemplarischen Vorgehensweise werden Microsoft-Zertifikatsdienste als Zertifizierungsstelle zum Ausstellen von Zertifikaten verwendet. Zur Vereinfachung werden die Zertifikatsdienste in dieser exemplarischen Vorgehensweise auf dem Team Foundation-Anwendungsebenenserver installiert. Sie können jedoch Ihre eigene Zertifizierungsstelle sowie eine Bereitstellungskonfiguration auswählen, die den Anforderungen Ihres Unternehmens am besten entsprechen. Es empfiehlt sich aus Sicherheitsgründen, die Stammzertifizierungsstelle zu isolieren, wenn Sie Zertifikatsdienste in einer Produktionsumgebung bereitstellen. Die physische Isolation des Zertifizierungsstellenservers, die nur für Sicherheitsadministratoren verfügbar ist, kann das Risiko einer Manipulation deutlich verringern. Weitere Informationen über Features des Zertifikatsdiensts finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkId=70930.

Vorsicht:

Nachdem Sie die Zertifikatsdienste installiert haben, können Sie den Namen des Computers oder die Domäne, in der der Computer eingetragen ist, nicht ändern. Wenn Sie den Computernamen oder die Domäne ändern, wird das von der Zertifizierungsstelle (CA) ausgestellte Zertifikat ungültig.

So installieren Sie Zertifikatsdienste

  1. Klicken Sie auf Start, auf Systemsteuerung, und wählen Sie anschließend Software aus.

  2. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.

  3. Klicken Sie im Assistent für Windows-Komponenten in der Liste Komponenten auf Zertifikatsdienste.

  4. Lesen Sie den Text im Meldungsfeld, und klicken Sie dann auf Ja.

  5. Klicken Sie auf Weiter, um die Installation zu starten.

  6. Wählen Sie auf der Seite Zertifizierungsstellentyp die Option Eigenständige Stammzertifizierungsstelle aus, und klicken Sie dann auf Weiter.

  7. Geben Sie auf der Seite Informationen über die Zertifizierungsstellen in Allgemeiner Name dieser Zertifizierungsstelle den Namen des Computers ein.

  8. Ändern Sie unter Gültigkeitszeitraum die Gültigkeitsdauer des Zertifikats auf sechs (6) Monate, und klicken Sie anschließend auf Weiter.

  9. Klicken Sie auf der Seite Einstellungen der Zertifikatdatenbank auf Weiter, ohne Änderungen vorzunehmen.

    Ein Meldungsfeld wird angezeigt, dass IIS beendet werden muss.

  10. Klicken Sie im Meldungsfeld auf Ja.

    Die Seite Komponenten werden konfiguriert wird angezeigt.

  11. Wenn ein Meldungsfeld mit Informationen über Active Server Pages (ASP) angezeigt wird, klicken Sie auf Ja.

  12. Klicken Sie auf Fertig stellen.

Erstellen einer Zertifikatsanforderung für Team Foundation Server-Websites

Sie müssen auf dem Anwendungsebenencomputer mit dem Internetinformationsdienste-Manager eine Zertifikatsanforderung für Team Foundation Server erstellen.

So erstellen Sie eine Zertifikatsanforderung für Team Foundation Server-Websites

  1. Klicken Sie auf Start, auf Verwaltung und anschließend auf Internetinformationsdienste-Manager.

  2. Erweitern Sie Computername (lokaler Computer), und erweitern Sie anschließend Websites.

  3. Klicken Sie mit der rechten Maustaste auf Team Foundation Server, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in Team Foundation Server-Eigenschaften auf die Registerkarte Verzeichnissicherheit.

  5. Klicken Sie unter Sichere Kommunikation auf Serverzertifikat.

    Der Assistent für Webserverzertifikate wird angezeigt. Klicken Sie auf Next.

  6. Klicken Sie auf der Seite Serverzertifikat auf Neues Zertifikat erstellen und anschließend auf Weiter.

  7. Klicken Sie auf der Seite Verzögerte oder sofortige Anforderung auf Weiter.

  8. Klicken Sie auf der Seite Name und Sicherheitseinstellungen auf Weiter, ohne Änderungen vorzunehmen.

  9. Geben Sie auf der Seite Informationen über Ihre Organisation Werte für Organisation und Organisationseinheit an. Geben Sie z. B. als Organisation den Namen Ihrer Firma und als Organisationseinheit den Namen Ihres Teams oder Ihrer Gruppe an. Klicken Sie auf Weiter.

  10. Klicken Sie auf der Seite Gemeinsamer Name (CN) der Site auf Weiter, ohne Änderungen vorzunehmen.

  11. Geben Sie auf der Site Geographische Informationen in den Feldern Land/Region, Bundesland/Kanton und Ort die entsprechenden Informationen an, und klicken Sie auf Weiter.

  12. Geben Sie auf der Seite Name der Zertifikatsanforderungsdatei unter Dateiname den gewünschten Speicherort für die Zertifikatsanforderungsdatei und den Namen der Datei an, und klicken Sie dann auf Weiter.

    Hinweis:

    Sie müssen die Zertifikatanforderungsdatei auf einer Netzwerkfreigabe oder an einem anderen Speicherort speichern, auf den vom Zertifizierungsstellencomputer aus zugegriffen werden kann.

  13. Überprüfen Sie die Informationen auf der Seite Zusammenfassung der Anforderungsdatei, und klicken Sie dann auf Weiter.

  14. Klicken Sie auf Fertig stellen.

  15. Klicken Sie auf OK, um das Dialogfeld Team Foundation Server-Eigenschaften zu schließen.

Ausgeben einer Zertifikatsanforderung und Erstellen einer binären Zertifikatsdatei

Nachdem Sie eine Zertifikatsanforderung erstellt haben, muss die Zertifizierungsstelle, in diesem Fall Microsoft Zertifikatsdienste, anhand der Anforderung ein Zertifikat ausstellen. Sobald ein Zertifikat erstellt wurde, können Sie dieses mit IIS den entsprechenden Websites zuweisen.

So geben Sie mit Microsoft Zertifikatsdienste eine Zertifikatsanforderung aus

  1. Klicken Sie auf Start, auf Verwaltung und anschließend auf Zertifizierungsstelle.

  2. Klicken Sie im Explorer-Fenster mit der rechten Maustaste auf den Computernamen, wählen Sie Alle Aufgaben aus, und klicken Sie anschließend auf Neue Anforderung einreichen.

  3. Suchen Sie im Dialogfeld Anforderungsdatei öffnen die Zertifikatanforderungs-Textdatei, die Sie in der vorherigen Vorgehensweise erstellt haben, und klicken Sie anschließend auf Öffnen.

  4. Erweitern Sie im Explorer-Fenster den Computernamen, und klicken Sie anschließend auf Ausstehende Anforderungen.

  5. Beachten Sie den Wert der Anforderungs-ID für die ausstehende Anforderung.

  6. Klicken Sie mit der rechten Maustaste auf die Anforderung, wählen Sie Alle Aufgaben aus, und klicken Sie dann auf Ausstellen.

  7. Wählen Sie im Explorer-Fenster unter dem Computernamen Ausgestellte Zertifikate aus, und überprüfen Sie, ob ein Zertifikat ausgestellt wurde, das mit dem Wert der Anforderungs-ID für Ihre Anforderung übereinstimmt.

  8. Klicken Sie in Ausgestellte Zertifikate mit der rechten Maustaste auf das ausgegebene Zertifikat, wählen Sie Alle Aufgaben aus, und klicken Sie dann auf Binärdaten exportieren.

  9. Wählen Sie in Spalten, die Binärdaten enthalten die Option Binäres Zertifikat aus. Wählen Sie unter Exportoptionen den Eintrag Binärdaten in Datei speichern aus, und klicken Sie dann auf OK.

  10. Speichern Sie in Binärdaten speichern die Datei auf einem tragbaren Mediengerät oder einer Netzwerkfreigabe, auf die über einen Team Foundation-Anwendungsebenencomputer zugegriffen werden kann.

  11. Schließen Sie Zertifizierungsstelle.

Installieren und Zuweisen des Zertifikats

Bevor Sie SSL für Team Foundation Server verwenden können, müssen Sie das Serverzertifikat auf der Team Foundation Server-Website installieren und anschließend HTTPS auf Websites für Team Foundation Server konfigurieren. Hierzu zählen folgende Websites:

  • Standardwebsite

  • SharePoint-Zentraladministration

  • Berichtsserver

Installieren des Serverzertifikats

Gehen Sie folgendermaßen vor, um das Serverzertifikat für Team Foundation Server zu installieren.

So installieren Sie das Serverzertifikat auf der Team Foundation Server-Website

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, dann auf Verwaltung und anschließend auf Internetinformationsdienste-Manager.

  2. Erweitern Sie <Computername> (lokaler Computer), und erweitern Sie anschließend Websites.

  3. Klicken Sie mit der rechten Maustaste auf Team Foundation Server, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in Team Foundation Server-Eigenschaften auf die Registerkarte Verzeichnissicherheit.

  5. Klicken Sie unter Sichere Kommunikation auf Serverzertifikat.

    Der Assistent für Webserverzertifikate wird angezeigt. Klicken Sie auf Next.

  6. Wählen Sie auf der Seite Ausstehende Zertifikatsanforderung die Option Ausstehende Anforderung verarbeiten und Zertifikat installieren aus, und klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite Ausstehende Anforderung verarbeiten auf Durchsuchen.

  8. Wählen Sie im Dialogfeld Öffnen unter Dateityp in der Dropdownliste Alle Dateien (*.*) aus, und navigieren Sie anschließend zu dem Verzeichnis, in dem Sie im vorherigen Verfahren das binäre Zertifikat gespeichert haben. Wählen Sie die binäre Zertifikatsdatei aus, und klicken Sie dann auf Öffnen.

  9. Klicken Sie auf der Seite Ausstehende Anforderung verarbeiten auf Weiter.

  10. Übernehmen Sie auf der Seite SSL-Port den Standardwert, oder geben Sie einen neuen Wert ein. Klicken Sie anschließend auf Weiter. Der Standardport für SSL-Verbindungen ist 443, Sie müssen jedoch einen eindeutigen Portwert für jede der folgenden drei Sites zuweisen: die Team Foundation Server-Website, die Standardwebsite und die SharePoint-Zentraladministrationswebsite.

    Wichtiger Hinweis:

    Verwenden Sie einen anderen als den Standardport, wenn Sie die Sicherheit Ihrer Bereitstellung erhöhen möchten. Notieren Sie sich den SSL-Port, den Sie zuweisen. Bevor Sie den Standardwert übernehmen, sollten Sie sicherstellen, dass der Port von keinem anderen Serverzertifikat verwendet wird. Jedes Serverzertifikat, das Sie installieren, benötigt einen andern SSL-Port. Wenn beispielsweise der Standardport 443 noch nicht verwendet wird und Sie für die Team Foundation Server-Website den Standardport 443 übernehmen, müssen Sie der Standardwebsite und der SharePoint-Zentraladministrationswebsite unterschiedliche Ports zuweisen.

  11. Überprüfen Sie die Informationen über die Seite Zertifikatzusammenfassung, und klicken Sie anschließend auf Weiter.

  12. Klicken Sie auf Fertig stellen.

  13. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Authentifizierung und Zugriffsteuerung auf Bearbeiten.

  14. Stellen Sie unter Authentifizierungsmethoden sicher, dass das Feld Anonymen Zugriff aktivieren leer ist. Wählen Sie unter Authentifizierter Zugriff die Integrierte Windows-Authentifizierung und je nach Bereitstellung entweder Standardauthentifizierung, Digestauthentifizierung für Windows-Domänenserver oder beides. Entfernen Sie alle anderen Markierungen, und klicken Sie anschließend auf OK.

    Hinweis:

       Möglicherweise werden Sie nach dem Klicken auf Digestauthentifizierung für Windows-Domänenserver aufgefordert, Ihre Auswahl zu bestätigen. Lesen Sie den Text, und klicken Sie anschließend auf Ja.

  15. Klicken Sie auf OK, um das Dialogfeld Team Foundation Server-Eigenschaften zu schließen.

    Hinweis:

    Wenn nach dem Klicken auf OK ein Dialogfeld Vererbungsüberschreibungen angezeigt wird, klicken Sie auf Alle Auswählen und anschließend auf OK.

Zuweisen des Zertifikats zur Standardwebsite

Gehen Sie folgendermaßen vor, um HTTPS in IIS auf der Standardwebsite einzurichten.

Hinweis:

In Abhängigkeit von Ihrer Zertifizierungshierarchie und Ihrer Public Key-Infrastruktur, können Sie außerdem ISS für die Authentifizierung mit Clientzertifikaten konfigurieren. Weitere Informationen finden Sie auf der Microsoft-Website unter Certificates (IIS 6.0), Certificate Services und Certificates.

So richten Sie HTTPS auf der Standardwebsite ein und erfordern SSL

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, dann auf Verwaltung und anschließend auf Internetinformationsdienste-Manager.

  2. Erweitern Sie <Computername> (lokaler Computer), und erweitern Sie anschließend Websites.

  3. Klicken Sie mit der rechten Maustaste auf Standardwebsite, und klicken Sie anschließend auf Eigenschaften.

  4. Klicken Sie in Eigenschaften von Standardwebsite auf die Registerkarte Verzeichnissicherheit.

  5. Klicken Sie unter Sichere Kommunikation auf Serverzertifikat.

    Der Assistent für Webserverzertifikate wird angezeigt. Klicken Sie auf Next.

  6. Wählen Sie auf der Seite Serverzertifikat die Option Vorhandenes Zertifikat hinzufügen aus, und klicken Sie dann auf Weiter.

  7. Wählen Sie auf der Seite Verfügbare Zertifikate das Zertifikat aus, dessen Angezeigter Name auf Team Foundation Server lautet. Möglicherweise müssen Sie einen Bildlauf durchführen, um die Spalte Angezeigter Name in der Liste anzuzeigen. Klicken Sie auf Weiter.

  8. Übernehmen Sie auf der Seite SSL-Port den Standardwert, oder geben Sie einen neuen Wert ein. Klicken Sie anschließend auf Weiter. Der Standardport für SSL-Verbindungen ist 443, Sie müssen jedoch einen eindeutigen Portwert für jede der folgenden drei Sites zuweisen: die Team Foundation Server-Website, die Standardwebsite und die SharePoint-Zentraladministrationswebsite.

    Wichtiger Hinweis:

    Verwenden Sie einen anderen als den Standardport, wenn Sie die Sicherheit Ihrer Bereitstellung erhöhen möchten.    Notieren Sie sich den SSL-Port. Jedes Serverzertifikat, das Sie installieren, benötigt einen andern SSL-Port. Wenn Sie beispielsweise den Standardport 443 für die Team Foundation Server-Website übernehmen, müssen Sie der Standardwebsite und der SharePoint-Zentraladministrationswebsite einen anderen Port zuweisen.

  9. Überprüfen Sie die Informationen über die Seite Zertifikatzusammenfassung, und klicken Sie anschließend auf Weiter.

  10. Klicken Sie auf Fertig stellen. Der Assistent wird geschlossen.

  11. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Sichere Kommunikation auf Bearbeiten.

  12. Wählen Sie unter Sichere Kommunikation die Option Sicherer Kanal (SSL) erforderlich aus. Stellen Sie sicher, dass Clientzertifikate ignorieren ausgewählt ist, und klicken Sie anschließend auf OK.

  13. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Authentifizierung und Zugriffsteuerung auf Bearbeiten.

  14. Stellen Sie unter Authentifizierungsmethoden sicher, dass das Feld Anonymen Zugriff aktivieren leer ist. Wählen Sie unter Authentifizierter Zugriff die Integrierte Windows-Authentifizierung und je nach Bereitstellung entweder Digestauthentifizierung für Windows-Domänenserver, Standardauthentifizierung oder beides. Entfernen Sie alle anderen Markierungen, und klicken Sie anschließend auf OK. Weitere Informationen zu Authentifizierungsmethoden und Team Foundation Server finden Sie unter Team Foundation Server, Standardauthentifizierung und Digestauthentifizierung.

    Hinweis:

       Möglicherweise werden Sie nach dem Klicken auf Digestauthentifizierung für Windows-Domänenserver aufgefordert, Ihre Auswahl zu bestätigen. Lesen Sie den Text, und klicken Sie anschließend auf Ja.

    Wichtiger Hinweis:

    Sie müssen die Digestauthentifizierung ordnungsgemäß konfigurieren. Andernfalls kann nicht auf Team Foundation Server zugegriffen werden. Wählen Sie die Digestauthentifizierung nur dann aus, wenn die Bereitstellungen alle Anforderungen zur Digestauthentifizierung erfüllen. Weitere Informationen zur Digestauthentifizierung finden Sie auf der Microsoft-Website (https://go.microsoft.com/fwlink/?LinkId=89709).

  15. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Standardwebsite zu schließen.

    Hinweis:

    Wenn nach dem Klicken auf OK ein Dialogfeld Vererbungsüberschreibungen angezeigt wird, klicken Sie auf Alle Auswählen und anschließend auf OK.

So konfigurieren Sie die Team Foundation Server-Website zum Erfordern von SSL

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, dann auf Verwaltung und anschließend auf Internetinformationsdienste-Manager.

  2. Erweitern Sie <Computername> (lokaler Computer), und erweitern Sie anschließend Websites.

  3. Klicken Sie mit der rechten Maustaste auf Team Foundation Server, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in Team Foundation Server-Eigenschaften auf die Registerkarte Verzeichnissicherheit.

  5. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Sichere Kommunikation auf Bearbeiten.

  6. Wählen Sie unter Sichere Kommunikation die Option Sicherer Kanal (SSL) erforderlich aus. Stellen Sie sicher, dass Clientzertifikate ignorieren ausgewählt ist, und klicken Sie anschließend auf OK.

  7. Klicken Sie auf OK, um das Dialogfeld Team Foundation Server-Eigenschaften zu schließen.

    Hinweis:

    Wenn nach dem Klicken auf OK ein Dialogfeld Vererbungsüberschreibungen angezeigt wird, klicken Sie auf Alle auswählen und anschließend auf OK.

Zuweisen des Zertifikats zur SharePoint-Zentraladministration

Gehen Sie folgendermaßen vor, um HTTPS für die SharePoint-Zentraladministration einzurichten.

So richten Sie HTTPS für die SharePoint-Zentraladministration ein und erfordern SSL

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, dann auf Verwaltung und anschließend auf Internetinformationsdienste-Manager.

  2. Erweitern Sie <Computername> (lokaler Computer), und erweitern Sie anschließend Websites.

  3. Klicken Sie mit der rechten Maustaste auf SharePoint-Zentraladministration, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in Eigenschaften von SharePoint-Zentraladministration auf die Registerkarte Verzeichnissicherheit.

  5. Klicken Sie unter Sichere Kommunikation auf Serverzertifikat.

    Der Assistent für Webserverzertifikate wird angezeigt. Klicken Sie auf Next.

  6. Wählen Sie auf der Seite Serverzertifikat die Option Vorhandenes Zertifikat hinzufügen aus, und klicken Sie dann auf Weiter.

  7. Wählen Sie auf der Seite Verfügbare Zertifikate das Zertifikat aus, dessen Angezeigter Name auf Team Foundation Server lautet. Möglicherweise müssen Sie einen Bildlauf durchführen, um die Spalte Angezeigter Name in der Liste anzuzeigen.

  8. Klicken Sie auf Next.

  9. Übernehmen Sie auf der Seite SSL-Port den Standardwert, oder geben Sie einen neuen Wert ein. Klicken Sie anschließend auf Weiter. Der Standardport für SSL-Verbindungen ist 443, Sie müssen jedoch einen eindeutigen Portwert für jede der folgenden drei Sites zuweisen: die Team Foundation Server-Website, die Standardwebsite und die SharePoint-Zentraladministrationswebsite.

    Wichtiger Hinweis:

    Verwenden Sie einen anderen als den Standardport, wenn Sie die Sicherheit Ihrer Bereitstellung erhöhen möchten.    Notieren Sie sich den SSL-Port. Jedes Serverzertifikat, das Sie installieren, benötigt einen andern SSL-Port. Wenn Sie beispielsweise den Standardport 443 für die Team Foundation Server-Website übernehmen, müssen Sie der Standardwebsite und der SharePoint-Zentraladministrationswebsite einen anderen Port zuweisen.

    Hinweis:

    Notieren Sie sich diesen Wert, da Sie ihn für die Zuweisung des Zertifikats zum SQL-Berichtsserver benötigen werden.

  10. Überprüfen Sie die Informationen über die Seite Zertifikatzusammenfassung, und klicken Sie anschließend auf Weiter.

  11. Klicken Sie auf Fertig stellen.

  12. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Sichere Kommunikation auf Bearbeiten.

  13. Wählen Sie unter Sichere Kommunikation die Option Sicherer Kanal (SSL) erforderlich aus. Stellen Sie sicher, dass Clientzertifikate ignorieren ausgewählt ist, und klicken Sie anschließend auf OK.

  14. Klicken Sie auf OK, um das Dialogfeld SharePoint-Zentraladministration zu schließen.

Konfigurieren des ISAPI-Filters

Sie müssen eine ISAPI-Initialisierungsdatei in dem gleichen Verzeichnis erstellen, in dem sich auch die zu Team Foundation Server SP1 gehörende Datei AuthenicationFilter.dll befindet. Außerdem müssen Sie den ISAPI-Filter zur Registrierung hinzufügen.

So konfigurieren Sie den ISAPI-Filter

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, Programme, Zubehör und anschließend auf Editor.

  2. Erstellen Sie in Editor die folgende Datei, wobei ProxyAddress die IP-Adresse ist, die als Quelle des externen Netzwerkverkehrs zu Team Foundation Server angezeigt wird (normalerweise ein Router) und für die HTTPS/SSL und Standard- und/oder Digestauthentifizierung erforderlich sein sollen. SubnetMask ist das IP-Adresse/Subnetzmaske-Paar, für das keine Digest- oder Standardauthentifizierung notwendig sein sollen (dabei kann es sich auch um mehrere Paare handeln).

    Wichtiger Hinweis:

    Wenn Sie den ProxyIPList-Schlüssel zu der Datei hinzufügen, werden der SubnetList-Schlüssel und seine Werte ignoriert. Weitere Informationen finden Sie unter Team Foundation Server, Standardauthentifizierung und Digestauthentifizierung.

    Hinweis:

    Sie können mehrere ProxyAdress- oder SubnetMask-Werte eingeben. Trennen Sie die ProxyAddress- und SubnetMask-Werte mit einem Semikolon.

    [config]

    RequireSecurePort=true

    ProxyIPList =ProxyAddress;

    SubnetList =SubnetMask;

  3. Speichern Sie diese Datei als AuthenticationFilter.ini im gleichen Verzeichnis wie AuthenticationFilter.dll. Dieses Verzeichnis ist. drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup**

  4. Öffnen Sie ein Eingabeaufforderungsfenster. Um eine Eingabeaufforderung zu öffnen, klicken Sie auf Start und auf Ausführen, geben Sie cmd ein, und klicken Sie anschließend auf OK.

    Hinweis:

    Sie müssen auch dann eine erweiterte Eingabeaufforderung öffnen, wenn Sie mit Administratoranmeldeinformationen angemeldet sind, um diese Funktion auf einem Server auszuführen, auf dem Windows Server 2008 ausgeführt wird. Um eine erweiterte Eingabeaufforderung zu öffnen, klicken Sie auf Start, klicken mit der rechten Maustaste auf Eingabeaufforderung und klicken dann auf Ausführen als Administrator. Weitere Informationen finden Sie auf der Microsoft-Website.

  5. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v EventMessageFile /t REG_SZ /d %windir%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll /f

  6. Geben Sie an der Eingabeaufforderung folgenden Befehl ein:

    reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v TypesSupported /t REG_DWORD /d 7 /f

  7. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, dann auf Verwaltung und anschließend auf Internetinformationsdienste-Manager.

  8. Erweitern Sie <Computername> (lokaler Computer), erweitern Sie Websites, klicken Sie mit der rechten Maustaste auf Team Foundation Server, und klicken Sie anschließend auf Eigenschaften.

  9. Klicken Sie in Eigenschaften von Standardwebsite auf die Registerkarte ISAPI-Filter.

  10. Klicken Sie unter ISAPI-Filter auf Hinzufügen.

  11. Geben Sie unter Filtereigenschaften hinzufügen/bearbeiten für FilternameTFAuthenticationFilter ein, für Ausführbare Dateidrive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup\AuthenticationFilter.dll**, und klicken Sie anschließend auf OK.

Konfigurieren der Firewall, um SSL-Verkehr zuzulassen

Sie müssen die Firewall so konfigurieren, dass Datenverkehr auf den SSL-Ports zugelassen wird, die Sie in IIS für die Standardwebsite, die Team Foundation Server-Website und die Website der SharePoint-Zentraladministration festgelegt haben.

Hinweis:

Das Verfahren zum Zulassen von SSL-Datenverkehr ist abhängig von der Firewallsoftware, die Sie in Ihrer Bereitstellung verwenden.

So konfigurieren Sie eine Firewall für den Netzwerkverkehr über die SSL-Ports, die von Team Foundation Server verwendet werden

  • In der Produktbeschreibung zu der Firewall finden Sie die erforderlichen Schritte zum Zulassen von Netzwerkverkehr über die SSL-Ports, die Sie für die Standardwebsite, die Team Foundation Server-Website und die Webseite der SharePoint-Zentraladministration festgelegt haben.

Aktualisieren von Teamprojekten für SQL-Berichtsserver mit dem Befehlszeilentool 'TFSConfigWss'.

Gehen Sie folgendermaßen vor, um die Teamprojekt-Websites für den SQL-Berichtsserver so zu aktualisieren, dass die Berichte ordnungsgemäß auf den Portalsites des Teamprojekts angezeigt werden.

So aktualisieren Sie Teamprojektsites für SQL-Berichtsserver

  1. Öffnen Sie auf dem Team Foundation-Anwendungsebenenserver ein Eingabeaufforderungsfenster, und wechseln Sie in das Verzeichnis Laufwerk:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.

  2. Geben Sie an der Eingabeaufforderung folgenden Befehl ein, und ersetzen Sie folgende Zeichenfolgen:

    • SharePointSite ist der neue URI (Uniform Resource Indicator) der Siteauflistung von SharePoint-Produkte und -Technologien.

    • Reports ist der neue URI für SQL Server Reporting Services.

    • ReportServer ist der neue URI für den Webdienst ReportsService.asmx.

      **TfsConfigWss ConfigureReporting /SharepointSitesUri:SharePointSite/ReportsUri:Reports/ReportServerUri:**ReportServer

Aktualisieren der Team Foundation Server-Konfigurationsinformationen

Gehen Sie folgendermaßen vor, um die Konfigurationsinformationen mit den HTTPS-URL-Werten für die Windows SharePoint Services- und Reporting Services-Websites zu aktualisieren.

So aktualisieren Sie die Team Foundation Server-Konfigurationsinformationen

  1. Öffnen Sie auf dem Team Foundation-Anwendungsebenenserver ein Eingabeaufforderungsfenster, und wechseln Sie in das Verzeichnis Laufwerk:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.

  2. Geben Sie folgenden Befehl ein, und ersetzen Sie folgende Zeichenfolgen:

    • BaseServerURL ist der neue URI des Webservers für den Team Foundation-Anwendungsebenenserver.

    • BaseSiteURL ist der neue URI der Standardwebsite für den Anwendungsebenenserver.

    • SharePointSite ist der neue URI für die Siteauflistung von SharePoint-Produkte und -Technologien.

    • SharePointAdministration ist der neue URI für die SharePoint-Zentraladministrationswebsite.

    • Reports ist der neue URI für SQL Server Reporting Services.

    • ReportServer ist der neue URI für den Webdienst ReportsService.asmx.

    **TfsAdminUtil ConfigureConnections /ATUri:BaseServerURL/SharepointUri:BaseSiteURL/SharepointSitesUri:SharePointSite/SharepointAdminUri:SharePointAdministration/ReportsUri:Reports/ReportServerUri:**ReportServer

    Hinweis:

    Wenn Sie eine benannte Instanz verwenden, müssen Sie diese als Teil der Werte für Reports und ReportServer angeben. Der Name der benannten Instanz darf nicht entfernt oder geändert werden.

    Beispiel: Wenn Sie Port 443 als SSL-Port der Team Foundation-Website, 1443 als SSL-Port der Standardwebsite in IIS und 2443 als Port für die SharePoint-Zentraladministrationswebsite festgelegt haben und der Name des Anwendungsebenenservers Contoso1 ist, ändern Sie den Wert folgendermaßen:

    **TfsAdminUtil ConfigureConnections /ATUri:**https://Contoso1:443 **/SharepointUri:**https://Contoso1:1443 **/SharepointSitesUri:https://Contoso1:1443/Sites/SharepointAdminUri:**https://Contoso1:2443 /ReportsUri:https://Contoso1:1443/Reports/ReportServerUri:https://Contoso1:1443/ReportServer

    Hinweis:

    Der Befehl Verbindungen konfigurieren verfügt über mehrere zusätzliche Optionen, wie z. B. die Aktualisierung der öffentlichen Webadresse für E-Mail-Warnungen. Weitere Informationen finden Sie unter Befehl "ConfigureConnections".

Konfigurieren von Reporting Services für SSL-Verbindungen

Gehen Sie folgendermaßen vor, um Reporting Services zum Erfordern von SSL zu konfigurieren.

So konfigurieren Sie den Berichtsserver für SSL-Verbindungen

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, klicken Sie auf Programme und auf Microsoft SQL Server 2005. Klicken Sie auf Konfigurationstools und anschließend auf Reporting Services-Konfiguration.

  2. Stellen Sie im Dialogfeld Auswahl der Berichtsserver-Installationsinstanz sicher, dass Computer- und Instanzname richtig sind, und klicken Sie anschließend auf Verbinden.

  3. Klicken Sie im Explorer-Fenster auf Virtuelles Verzeichnis für den Berichtsserver.

  4. Wählen Sie unter Einstellungen des virtuellen Verzeichnisses für den Berichtsserver die Option SSL-Verbindungen erfordern aus. Wählen Sie unter Erforderlich für die Option 1 - Verbindungen aus. Geben Sie im Feld Zertifikatname den Namen der Team Foundation-Anwendungsebene ein, und klicken Sie anschließend auf Übernehmen.

  5. Schließen Sie den Konfigurations-Manager für Reporting Services.

Installieren des Zertifikats auf Buildcomputern

Wenn Sie Builddienste auf mindestens einem Server installieren, müssen Sie das Zertifikat auf jedem dieser Server installieren.

Hinweis:

Um Builds über SLL auszuführen, muss das Zertifikat sowohl auf dem Buildcomputer für das Konto, unter dem der Builddienst ausgeführt wird, als auch auf dem Computer, der den Build startet, im Speicher vertrauenswürdiger Stammzertifizierungsstellen installiert sein.

So installieren Sie das Zertifikat auf Buildcomputern

  1. Melden Sie sich auf dem Buildcomputer mit einem Konto an, das Mitglied der Administratorengruppe dieses Computers ist.

  2. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  3. Ein Dialogfeld mit einer Sicherheitsmeldung wird angezeigt. Klicken Sie unter Sicherheitswarnung auf Zertifikat anzeigen.

  4. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Zertifizierungspfad.

  5. Klicken Sie unter Zertifizierungspfad auf die Zertifizierungsstelle. Dies sollte der oberste Knoten der Zertifizierungshierarchie sein. Neben dem Namen sollte sich ein rotes X befinden. Dies weist darauf hin, dass die Zertifizierungsstelle nicht vertrauenswürdig ist, da sie sich nicht im Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet. Klicken Sie auf Zertifikat anzeigen.

  6. Klicken Sie im Dialogfeld Zertifikat auf Zertifikat installieren.

    Der Zertifikatimport-Assistent wird geöffnet. Klicken Sie auf Next.

  7. Wählen Sie auf der Seite Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern aus, und klicken Sie anschließend auf Durchsuchen.

  8. Wählen Sie in Zertifikatspeicher auswählen die Option Physikalischen Speicher anzeigen aus. Erweitern Sie unter Wählen Sie den Zertifikatspeicher, der verwendet werden soll den Eintrag Vertrauenswürdige Stammzertifizierungsstellen, wählen Sie Lokaler Computer, und klicken Sie anschließend auf OK.

  9. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter.

  10. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  11. Möglicherweise wird das Dialogfeld Zertifikatimport-Assistent angezeigt. Dadurch wird bestätigt, dass der Importvorgang erfolgreich war. Wenn das Dialogfeld angezeigt wird, klicken Sie auf OK.

  12. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für die oberste Knotenzertifizierungshierarchie wird geschlossen.

  13. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für das untergeordnete Zertifikat wird geschlossen.

  14. Klicken Sie unter Sicherheitswarnung auf Nein.

  15. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  16. Die Seite ServerStatus-Webdienst sollte geöffnet werden. Dadurch wird bestätigt, dass das Zertifikat und die Zertifizierungsstelle ordnungsgemäß installiert wurden. Schließen Sie den Browser.

Konfigurieren eines Build-Agent für SSL-Verbindungen

Um einen Build-Agent für SSL-Verbindungen zu konfigurieren, muss für jede Kombination aus IP-Adresse und Port ein HTTPS-Zertifikat konfiguriert werden. Wenn alle Build-Agents des Buildcomputers denselben Port verwenden, ist lediglich die Konfiguration eines einzigen Zertifikats notwendig. Wenn mehr als ein Build-Agent an mehr als einem Port verwendet werden, muss für jeden Port ein Zertifikat konfiguriert werden.

Um einen Build-Agent für die Verwendung von SSL zu konfigurieren, führen Sie nacheinander die folgenden Schritte aus:

  1. Erstellen Sie den Build-Agent, und konfigurieren Sie ihn so, dass die Verwendung von HTTPS festgelegt wird.

  2. Beenden Sie den Visual Studio Team Foundation Build-Dienst.

  3. Ändern Sie die Builddienstkonfiguration so, dass die Verwendung von HTTPS festgelegt wird.

  4. Ordnen Sie der IP-Adresse und dem Port ein Zertifikat zu.

  5. Konfigurieren Sie den Port und das Protokoll für den Build-Agent.

  6. Starten Sie den Visual Studio Team Foundation Build-Dienst neu.

  7. Überprüfen Sie die SSL-Konfiguration.

So konfigurieren Sie den Build-Agent für die Verwendung von HTTPS

  1. Öffnen Sie das Dialogfeld Build-Agents verwalten, und aktivieren Sie das Kontrollkästchen Sicherer Channel erforderlich (HTTPS).

    Weitere Informationen hierzu finden Sie unter Gewusst wie: Erstellen und Verwalten von Build-Agents.

  2. Klicken Sie auf Bearbeiten.

    Das Dialogfeld Eigenschaften von Build-Agent wird angezeigt.

  3. Klicken Sie in der Liste Agent-Status auf Deaktiviert.

So beenden Sie den Visual Studio Team Foundation Build-Dienst

  1. Melden Sie sich auf dem Buildcomputer mit einem Konto an, das Mitglied der Administratorengruppe dieses Computers ist.

  2. Klicken Sie auf dem Buildcomputer auf Start, Systemsteuerung, Verwaltung und dann auf Dienste.

  3. Klicken Sie im Bereich Dienste (Lokal) mit der rechten Maustaste auf Visual Studio Team Foundation Build, und klicken Sie auf Eigenschaften.

    Das Dialogfeld Eigenschaften von Visual Studio Team Foundation Build (Lokaler Computer) wird geöffnet.

  4. Klicken Sie unter Dienststatus auf Beenden.

So ändern Sie die Builddienstkonfiguration, dass die Verwendung von HTTPS erforderlich ist

  1. Melden Sie sich auf dem Buildcomputer mit einem Konto an, das Mitglied der Administratorengruppe dieses Computers ist.

  2. Öffnen Sie Laufwerk:\Programme\Microsoft Visual Studio 2008\Common7\IDE\PrivateAssemblies, klicken Sie mit der rechten Maustaste auf TfsBuildservice.config.exe, und klicken Sie auf Öffnen.

    Die Datei wird im XML-Editor für Visual Studio geöffnet.

  3. Ändern Sie im <appSettings>-Abschnitt den Wert des RequireSecureChannel-Schlüssels in "true". Ändern Sie die Schlüsseldefinition z. B. in die folgende Zeichenfolge:

    <add key="RequireSecureChannel" value="true" />
    
  4. Speichern Sie die Änderungen, und schließen Sie die Datei.

So ordnen Sie ein SSL-Zertifikat einer IP-Adresse und einer Portnummer zu

  1. Melden Sie sich auf dem Buildcomputer mit einem Konto an, das Mitglied der Administratorengruppe dieses Computers ist.

  2. Verwenden Sie das Zertifikat-Snap-In, um nach einem X.509-Zertifikat zu suchen, das der Clientauthentifizierung dient.

    Weitere Informationen finden Sie unter "How To: Retrieve the Thumbprint of a Certificate" (https://go.microsoft.com/fwlink/?LinkId=93828).

  3. Kopieren Sie den Fingerabdruck des Zertifikats in einen Text-Editor, z. B. Editor.

  4. Entfernen Sie alle Leerzeichen zwischen den Hexadezimalzeichen.

    Sie können die Leerzeichen entfernen, indem Sie mit der Suchen-und-Ersetzen-Funktion des Texteditors jedes Leerzeichen durch ein NULL-Zeichen ersetzen.

  5. Klicken Sie auf dem Buildcomputer nacheinander auf Start, Alle Programme, Windows-Supporttools und Eingabeaufforderung.

  6. Führen Sie das HttpCfg.exe-Tool im SSL-Speicher im "set"-Modus aus, um das Zertifikat an eine Portnummer zu binden. Im folgenden Beispiel wird gezeigt, wie das Zertifikat vom Tool mithilfe des Fingerabdrucks identifiziert wird:

    httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces
    

    Der /i-Parameter hat die Syntax IP-Adresse:Port und weist das Tool an, das Zertifikat auf dem Buildcomputer auf Port 9191 festzulegen. Der Einfachheit halber lassen sich mit der IP-Adresse 0.0.0.0 alle Computeradressen reservieren. Wenn eine genauere Angabe erforderlich ist, geben Sie die exakte IP-Adresse an, unter der der Agent-Dienst veröffentlicht wird. Der /h-Parameter gibt den Fingerabdruck des Zertifikats an.

    Wenn das Clientzertifikat ausgehandelt werden muss, fügen Sie den Parameter /f 2 hinzu, wie im folgenden Beispiel gezeigt:

    httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces /f 2
    

    Weitere Information über die Syntax des HttpCfg.exe-Befehls finden Sie unter "How To: Configure a Port with An SSL Certificate" (https://go.microsoft.com/fwlink/?LinkId=93829).

So konfigurieren Sie den Port und das Protokoll des Build-Agents

  1. Führen Sie an der Eingabeaufforderung wcfhttpconfigfreePortnummer aus. Die Befehlsanweisung sollte der folgenden Zeichenfolge ähneln:

    wcfhttpconfig free OldPortForHttp
    

    Weitere Informationen finden Sie unter wcfhttpconfig (Team Foundation Build).

  2. Führen Sie an der Eingabeaufforderung wcfhttpconfigreserveBenutzerkontoURL aus. Die Befehlsanweisung sollte der folgenden Zeichenfolge ähneln:

    wcfhttpconfig reserve Domain\Account https://+Computer:NewPortForHttps/Build/v2.0/AgentService.asmx
    
  3. Fügen Sie den Port der Ausnahmeliste für die Windows-Firewall hinzu.

So starten Sie den Visual Studio Team Foundation Build-Dienst neu

  1. Melden Sie sich auf dem Buildcomputer mit einem Konto an, das Mitglied der Administratorengruppe dieses Computers ist.

  2. Klicken Sie auf dem Buildcomputer auf Start, Systemsteuerung, Verwaltung und dann auf Dienste.

  3. Klicken Sie im Bereich Dienste (Lokal) mit der rechten Maustaste auf Visual Studio Team Foundation Build, und klicken Sie auf Eigenschaften.

    Das Dialogfeld Eigenschaften von Visual Studio Team Foundation Build (Lokaler Computer) wird geöffnet.

  4. Klicken Sie unter Dienststatus auf Starten.

So überprüfen Sie die SSL-Konfiguration

  1. Öffnen Sie das Dialogfeld Build-Agents verwalten.

    Weitere Informationen hierzu finden Sie unter Gewusst wie: Erstellen und Verwalten von Build-Agents.

  2. Klicken Sie auf Bearbeiten.

    Das Dialogfeld Eigenschaften von Build-Agent wird angezeigt.

  3. Klicken Sie in der Liste Agent-Status auf Aktiviert.

  4. Überprüfen Sie, ob kommuniziert wird, indem Sie mit dem Build-Agent einen Build ausführen.

    Weitere Informationen finden Sie unter Gewusst wie: Starten oder Hinzufügen einer Builddefinition zur Warteschlange.

Installieren des Zertifikats auf Team Foundation Server-Proxycomputern

Wenn Sie den Team Foundation Server-Proxy auf mindestens einem Computer installiert haben, müssen Sie das Zertifikat auf jedem dieser Computer installieren.

Hinweis:

Neben den unten stehenden Schritten müssen Sie die Firewalls für den Proxycomputer so konfigurieren, dass der Datenverkehr an den SSL-Ports, die Sie für Team Foundation Server angegeben haben, zugelassen wird. Das Verfahren zum Zulassen von SSL-Datenverkehr ist abhängig von der Firewallsoftware, die Sie in Ihrer Bereitstellung verwenden.

So installieren Sie das Zertifikat auf einem Team Foundation Server-Proxycomputer

  1. Melden Sie sich auf dem Team Foundation Server-Proxyserver mit einem Konto an, das Mitglied der Administratorengruppe dieses Computers ist.

  2. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  3. Ein Dialogfeld mit einer Sicherheitsmeldung wird angezeigt. Klicken Sie unter Sicherheitswarnung auf Zertifikat anzeigen.

  4. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Zertifizierungspfad.

  5. Klicken Sie unter Zertifizierungspfad auf die Zertifizierungsstelle. Dies sollte der oberste Knoten der Zertifizierungshierarchie sein. Neben dem Namen sollte sich ein rotes X befinden. Dies weist darauf hin, dass die Zertifizierungsstelle nicht vertrauenswürdig ist, da sie sich nicht im Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet. Klicken Sie auf Zertifikat anzeigen.

  6. Klicken Sie im Dialogfeld Zertifikat auf Zertifikat installieren.

    Der Zertifikatimport-Assistent wird geöffnet. Klicken Sie auf Next.

  7. Wählen Sie auf der Seite Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern aus, und klicken Sie anschließend auf Durchsuchen.

  8. Wählen Sie in Zertifikatspeicher auswählen die Option Physikalischen Speicher anzeigen aus. Erweitern Sie unter Wählen Sie den Zertifikatspeicher, der verwendet werden soll den Eintrag Vertrauenswürdige Stammzertifizierungsstellen, wählen Sie Lokaler Computer, und klicken Sie anschließend auf OK.

  9. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter.

  10. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  11. Möglicherweise wird das Dialogfeld Zertifikatimport-Assistent angezeigt. Dadurch wird bestätigt, dass der Importvorgang erfolgreich war. Wenn dieses Dialogfeld angezeigt wird, klicken Sie auf OK.

  12. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für die oberste Knotenzertifizierungshierarchie wird geschlossen.

  13. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für das untergeordnete Zertifikat wird geschlossen.

  14. Klicken Sie unter Sicherheitswarnung auf Nein.

  15. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  16. Die Seite ServerStatus-Webdienst sollte geöffnet werden. Dadurch wird bestätigt, dass das Zertifikat und die Zertifizierungsstelle ordnungsgemäß installiert wurden. Schließen Sie den Browser.

Installieren des Zertifikats auf Clientcomputern

Das Zertifikat muss auf jedem Clientcomputer, der auf Team Foundation Server zugreift, lokal installiert sein. Wenn vom Clientcomputer zuvor auf ein Team Foundation Server-Teamprojekt zugegriffen wurde, müssen Sie zusätzlich den Clientcache für jeden Benutzer löschen, der den Computer verwendet hat, um eine Verbindung mit Team Foundation Server herzustellen, andernfalls ist eine Verbindung mit Team Foundation Server nicht möglich.

Wichtiger Hinweis:

Befolgen Sie dieses Verfahren nicht für Team Foundation-Clients, die auf dem Server installiert sind, auf dem Team Foundation Server ausgeführt wird.

So installieren Sie das Zertifikat auf einem Team Foundation-Clientcomputer

  1. Melden Sie sich auf dem Team Foundation-Clientcomputer mit einem Konto an, das Mitglied der Gruppe Administratoren dieses Computers ist.

  2. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  3. Ein Dialogfeld mit einer Sicherheitsmeldung wird angezeigt. Klicken Sie unter Sicherheitswarnung auf Zertifikat anzeigen.

  4. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Zertifizierungspfad.

  5. Klicken Sie unter Zertifizierungspfad auf die Zertifizierungsstelle. Dies sollte der oberste Knoten der Zertifizierungshierarchie sein. Neben dem Namen sollte sich ein rotes X befinden. Dies weist darauf hin, dass die Zertifizierungsstelle nicht vertrauenswürdig ist, da sie sich nicht im Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet. Klicken Sie auf Zertifikat anzeigen.

  6. Klicken Sie im Dialogfeld Zertifikat auf Zertifikat installieren.

    Der Zertifikatimport-Assistent wird geöffnet. Klicken Sie auf Next.

  7. Wählen Sie auf der Seite Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern aus, und klicken Sie anschließend auf Durchsuchen.

  8. Wählen Sie in Zertifikatspeicher auswählen die Option Physikalischen Speicher anzeigen aus. Erweitern Sie unter Wählen Sie den Zertifikatspeicher, der verwendet werden soll den Eintrag Vertrauenswürdige Stammzertifizierungsstellen, wählen Sie Lokaler Computer, und klicken Sie anschließend auf OK.

  9. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter.

  10. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  11. Möglicherweise wird das Dialogfeld Zertifikatimport-Assistent angezeigt. Dadurch wird bestätigt, dass der Importvorgang erfolgreich war. Wenn das Dialogfeld angezeigt wird, klicken Sie auf OK.

  12. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für die oberste Knotenzertifizierungshierarchie wird geschlossen.

  13. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für das untergeordnete Zertifikat wird geschlossen.

  14. Klicken Sie unter Sicherheitswarnung auf Nein.

  15. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  16. Die Seite ServerStatus-Webdienst sollte geöffnet werden. Dadurch wird bestätigt, dass das Zertifikat und die Zertifizierungsstelle ordnungsgemäß installiert wurden. Schließen Sie den Browser.

So löschen Sie den Cache auf einem Team Foundation-Clientcomputer

  1. Melden Sie sich auf dem Team Foundation-Clientcomputer mit den Anmeldeinformationen des Benutzers an, den Sie aktualisieren möchten.

  2. Schließen Sie auf dem Team Foundation-Clientcomputer alle offenen Instanzen von Visual Studio.

  3. Öffnen Sie einen Browser und darin den folgenden Ordner:

    drive**:\Documents and Settings\username\Local Settings\Application Data\Microsoft\Team Foundation\2.0\Cache**

  4. Löschen Sie den Inhalt des Cacheverzeichnisses. Stellen Sie sicher, dass alle Unterordner gelöscht werden.

  5. Klicken Sie auf Start, Ausführen, und geben Sie devenv /resetuserdata ein. Klicken Sie anschließend auf OK.

  6. Wiederholen Sie diese Schritte für jedes Benutzerkonto auf dem Computer, das auf Team Foundation Server zugreift.

    Hinweis:

    Sie können Anweisungen zum Löschen des Cache an alle Team Foundation Server-Benutzer verteilen, sodass diese in der Lage sind, den Cache selbst zu löschen.

Siehe auch

Aufgaben

Exemplarische Vorgehensweise: Einrichten von Team Foundation Server mit SSL (Secure Sockets Layer) und einem ISAPI-Filter

Konzepte

Team Foundation Server, HTTPS und SSL (Secure Sockets Layer)

Team Foundation Server, Standardauthentifizierung und Digestauthentifizierung

Weitere Ressourcen

Exemplarische Vorgehensweisen für die Verwaltung von Team Foundation

Sichern von Team Foundation Server mit HTTPS und SSL (Secure Sockets Layer)