Exemplarische Vorgehensweise: Einrichten von Team Foundation Server mit SSL (Secure Sockets Layer)

  • Artikel

In der folgenden exemplarischen Vorgehensweise wird das Anfordern, Ausstellen und Zuweisen von Zertifikaten beschrieben, die für SSL-Verbindungen verwendet werden. Sie können die Sicherheit von Team Foundation Server erhöhen, indem Sie zwischen den Client- und Serverkomponenten von Team Foundation Server SSL-Verbindungen aktivieren.

Im Verlauf dieser exemplarischen Vorgehensweise führen Sie folgende Aufgaben aus:

  1. Erstellen einer Zertifikatsanforderung für Team Foundation Server-Websites

  2. Ausgeben der Zertifikatsanforderung und Erstellen der binären Zertifikatsdatei

  3. Installieren und Zuweisen des Zertifikats

  4. Installieren des Zertifikats auf Clientcomputern

  5. Testen des Zertifikats

Hinweis

Bei den Verfahren in dieser exemplarischen Vorgehensweise ist die ausschließliche Verwendung von HTTPS und SSL für die Clients nicht erforderlich, wenn sie eine Verbindung mit Team Foundation Server herstellen. Weitere Informationen zum Einschränken von Verbindungen auf die ausschließliche Verwendung von HTTPS und SSL finden Sie unter Gewusst wie: Konfigurieren von Team Foundation Server für die ausschließliche Verwendung von HTTPS und SSL.

Wichtig

Wenn Service Pack 1 (SP1) für Team Foundation Server installiert ist, können Sie die Unterstützung für Standard- und Digestauthentifizierung nutzen, die mit diesem Service Pack verfügbar ist. Weitere Informationen finden Sie unter Team Foundation Server, Standardauthentifizierung und Digestauthentifizierung.

Vorbereitungsmaßnahmen

So führen Sie diese exemplarische Vorgehensweise durch

  • Es müssen sowohl die Datenebenen- als auch die Anwendungsebenenkomponenten von Team Foundation Server installiert sein. Weitere Informationen finden Sie im Installationshandbuch zu Team Foundation. Sie können die aktuelle Version des Team Foundation-Installationshandbuchs im Microsoft Download Center unter https://go.microsoft.com/fwlink/?linkid=40042 downloaden.

  • Zur Ausstellung von Zertifikaten ist eine Zertifizierungsstelle erforderlich. In dieser exemplarischen Vorgehensweise wird davon ausgegangen, dass Sie Microsoft Zertifikatsdienste als Zertifizierungsstelle verwenden. Wenn keine Zertifizierungsstelle vorhanden ist, können Sie Microsoft-Zertifikatsdienste installieren und eine Zertifizierungsstelle konfigurieren. Weitere Informationen dazu finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkId=70929.

Annahmen

Für diese exemplarische Vorgehensweise wird Folgendes vorausgesetzt:

  • Die Team Foundation-Server auf Datenebene und auf Anwendungsebene wurden in einer sicheren Umgebung installiert und bereitgestellt. Sie wurden den Sicherheitsempfehlungen entsprechend konfiguriert.

  • Der Administrator, der Team Foundation Server mit SSL konfiguriert, ist vertraut mit PKIs (Public Key Infrastructures) und Zertifikaten, einschließlich dem Anfordern, Ausstellen und Zuweisen von Zertifikaten. Weitere Informationen über PKI und Zertifikate finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkId=70930.

  • Der Administrator ist vertraut mit dem Konfigurieren von IIS (Internetinformationsdienste), Microsoft SQL Server und Netzwerkeinstellungen, und er hat Erfahrung mit der Netzwerktopologie der Entwicklungsumgebung.

Sicherheit

Sie müssen sowohl Mitglied der Gruppe der Administratoren auf den Team Foundation-Servern auf Anwendungs- und Datenebene als auch ein Mitglied der Team Foundation-Administratorengruppe sein, um dieses Verfahren abzuschließen. Weitere Informationen über Berechtigungen finden Sie unter Team Foundation Server-Berechtigungen.

Installieren von Microsoft Zertifikatsdienste

In dieser exemplarischen Vorgehensweise werden Microsoft-Zertifikatsdienste als Zertifizierungsstelle zum Ausstellen von Zertifikaten verwendet. Zur Vereinfachung werden die Zertifikatsdienste in dieser exemplarischen Vorgehensweise auf dem Team Foundation-Anwendungsebenenserver installiert. Es empfiehlt sich aus Sicherheitsgründen, die Stammzertifizierungsstelle zu isolieren, wenn Sie Zertifikatsdienste in einer Produktionsumgebung bereitstellen. Die physische Isolation des Zertifizierungsstellenservers, die nur für Sicherheitsadministratoren verfügbar ist, kann das Risiko einer Manipulation deutlich verringern. Weitere Informationen über Features des Zertifikatsdiensts finden Sie auf der Microsoft-Website unter https://go.microsoft.com/fwlink/?LinkId=70930.

Warnung

Nachdem Sie die Zertifikatsdienste installiert haben, können Sie den Namen des Computers oder die Domäne, in der der Computer eingetragen ist, nicht ändern. Wenn Sie den Computernamen oder die Domäne ändern, wird das von der Zertifizierungsstelle (CA) ausgestellte Zertifikat ungültig.

So installieren Sie Zertifikatsdienste

  1. Klicken Sie auf Start, auf Systemsteuerung, und wählen Sie anschließend Software aus.

  2. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.

  3. Klicken Sie im Assistent für Windows-Komponenten in der Liste Komponenten auf Zertifikatsdienste.

  4. Lesen Sie den Text im Meldungsfeld, und klicken Sie dann auf Ja.

  5. Klicken Sie auf Weiter, um die Installation zu starten.

  6. Wählen Sie auf der Seite Zertifizierungsstellentyp die Option Eigenständige Stammzertifizierungsstelle aus, und klicken Sie dann auf Weiter.

  7. Geben Sie auf der Seite Informationen über die Zertifizierungsstellen in Allgemeiner Name dieser Zertifizierungsstelle den Namen des Computers ein.

  8. Ändern Sie unter Gültigkeitszeitraum die Gültigkeitsdauer des Zertifikats auf sechs (6) Wochen, und klicken Sie anschließend auf Weiter.

  9. Klicken Sie auf der Seite Einstellungen der Zertifikatdatenbank auf Weiter, ohne Änderungen vorzunehmen.

    Ein Meldungsfeld wird angezeigt, dass IIS beendet werden muss.

  10. Klicken Sie im Meldungsfeld auf Ja.

    Die Seite Komponenten werden konfiguriert wird angezeigt.

  11. Wenn ein Meldungsfeld mit Informationen über Active Server Pages (ASP) angezeigt wird, klicken Sie auf Ja.

  12. Klicken Sie auf Fertig stellen.

Erstellen einer Zertifikatsanforderung für Team Foundation Server-Websites

Sie müssen auf dem Computer der Anwendungsebene mit dem Internetinformationsdienste-Manager eine Zertifikatsanforderung für Team Foundation Server erstellen.

So erstellen Sie eine Zertifikatsanforderung für Team Foundation Server-Websites

  1. Klicken Sie auf Start, Verwaltung und anschließend auf Internetinformationsdienste-Manager.

  2. Erweitern Sie Computername (lokaler Computer), und erweitern Sie anschließend Websites.

  3. Klicken Sie mit der rechten Maustaste auf Team Foundation Server, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in Team Foundation Server-Eigenschaften auf die Registerkarte Verzeichnissicherheit.

  5. Klicken Sie unter Sichere Kommunikation auf Serverzertifikat.

    Der Assistent für Webserverzertifikate wird angezeigt. Klicken Sie auf Weiter.

  6. Klicken Sie auf der Seite Serverzertifikat auf Neues Zertifikat erstellen und anschließend auf Weiter.

  7. Klicken Sie auf der Seite Verzögerte oder sofortige Anforderung auf Weiter.

  8. Klicken Sie auf der Seite Name und Sicherheitseinstellungen auf Weiter, ohne Änderungen vorzunehmen.

  9. Geben Sie auf der Seite Informationen über Ihre Organisation Werte für Organisation und Organisationseinheit an. Geben Sie z. B. als Organisation den Namen Ihrer Firma und als Organisationseinheit den Namen Ihres Teams oder Ihrer Gruppe an. Klicken Sie auf Weiter.

  10. Klicken Sie auf der Seite Gemeinsamer Name (CN) der Site auf Weiter, ohne Änderungen vorzunehmen.

  11. Geben Sie auf der Site Geographische Informationen in den Feldern Land/Region, Bundesland/Kanton und Ort die entsprechenden Informationen an, und klicken Sie auf Weiter.

  12. Geben Sie auf der Seite Name der Zertifikatsanforderungsdatei unter Dateiname den gewünschten Speicherort für die Zertifikatsanforderungsdatei und den Namen der Datei an, und klicken Sie dann auf Weiter.

    Hinweis

    Sie müssen die Zertifikatanforderungsdatei auf einer Netzwerkfreigabe oder an einem anderen Speicherort speichern, auf den vom Zertifizierungsstellencomputer aus zugegriffen werden kann.

  13. Überprüfen Sie die Informationen auf der Seite Zusammenfassung der Anforderungsdatei, und klicken Sie dann auf Weiter.

  14. Klicken Sie auf Fertig stellen.

  15. Klicken Sie auf OK, um das Dialogfeld Team Foundation Server-Eigenschaften zu schließen.

Ausgeben einer Zertifikatsanforderung und Erstellen einer binären Zertifikatsdatei

Nachdem Sie eine Zertifikatsanforderung erstellt haben, muss die Zertifizierungsstelle, in diesem Fall Microsoft Zertifikatsdienste, anhand der Anforderung ein Zertifikat ausstellen. Sobald ein Zertifikat erstellt wurde, können Sie dieses mit IIS den entsprechenden Websites zuweisen.

So geben Sie mit Microsoft Zertifikatsdienste eine Zertifikatsanforderung aus

  1. Klicken Sie auf Start, auf Verwaltung und anschließend auf Zertifizierungsstelle.

  2. Klicken Sie im Explorer-Fenster mit der rechten Maustaste auf den Computernamen, wählen Sie Alle Aufgaben aus, und klicken Sie anschließend auf Neue Anforderung einreichen.

  3. Suchen Sie im Dialogfeld Anforderungsdatei öffnen die Zertifikatanforderungs-Textdatei, die Sie in der vorherigen Vorgehensweise erstellt haben, und klicken Sie anschließend auf Öffnen.

  4. Erweitern Sie im Explorer-Fenster den Computernamen, und klicken Sie anschließend auf Ausstehende Anforderungen.

  5. Beachten Sie den Wert der Anforderungs-ID für die ausstehende Anforderung.

  6. Klicken Sie mit der rechten Maustaste auf die Anforderung, wählen Sie Alle Aufgaben aus, und klicken Sie dann auf Ausstellen.

  7. Wählen Sie im Explorer-Fenster unter dem Computernamen Ausgestellte Zertifikate aus, und überprüfen Sie, ob ein Zertifikat ausgestellt wurde, das mit dem Wert der Anforderungs-ID für Ihre Anforderung übereinstimmt.

  8. Klicken Sie in Ausgestellte Zertifikate mit der rechten Maustaste auf das ausgegebene Zertifikat, wählen Sie Alle Aufgaben aus, und klicken Sie dann auf Binärdaten exportieren.

  9. Wählen Sie in Spalten, die Binärdaten enthalten die Option Binäres Zertifikat aus. Wählen Sie unter Exportoptionen den Eintrag Binärdaten in Datei speichern aus, und klicken Sie dann auf OK.

  10. Speichern Sie mit Binärdaten speichern die Daten auf einem Gerät für tragbare Medien oder einer Netzwerkfreigabe, auf die über einen Team Foundation-Anwendungsebenencomputer zugegriffen werden kann.

  11. Schließen Sie Zertifizierungsstelle.

Installieren und Zuweisen des Zertifikats

Bevor Sie SSL für Team Foundation Server verwenden können, müssen Sie das Serverzertifikat auf der Team Foundation Server-Website installieren und anschließend HTTPS auf Websites für Team Foundation Server konfigurieren. Hierzu zählen folgende Websites:

  • Standardwebsite

  • SharePoint-Zentraladministration

  • Berichtsserver

Installieren des Serverzertifikats

Gehen Sie folgendermaßen vor, um das Serverzertifikat auf Team Foundation Server zu installieren.

So installieren Sie das Serverzertifikat auf der Team Foundation Server-Website

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, klicken Sie auf Verwaltung und anschließend auf Internetinformationsdienste-Manager.

  2. Erweitern Sie <Computername> (lokaler Computer), und erweitern Sie anschließend Websites.

  3. Klicken Sie mit der rechten Maustaste auf Team Foundation Server, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in Team Foundation Server-Eigenschaften auf die Registerkarte Verzeichnissicherheit.

  5. Klicken Sie unter Sichere Kommunikation auf Serverzertifikat.

    Der Assistent für Webserverzertifikate wird angezeigt. Klicken Sie auf Weiter.

  6. Wählen Sie auf der Seite Ausstehende Zertifikatsanforderung die Option Ausstehende Anforderung verarbeiten und Zertifikat installieren aus, und klicken Sie dann auf Weiter.

  7. Klicken Sie auf der Seite Ausstehende Anforderung verarbeiten auf Durchsuchen.

  8. Wählen Sie im Dialogfeld Öffnen unter Dateityp in der Dropdownliste Alle Dateien (*.*) aus, und navigieren Sie anschließend zu dem Verzeichnis, in dem Sie im vorherigen Verfahren das binäre Zertifikat gespeichert haben. Wählen Sie die binäre Zertifikatsdatei aus, und klicken Sie dann auf Öffnen.

  9. Klicken Sie auf der Seite Ausstehende Anforderung verarbeiten auf Weiter.

  10. Übernehmen Sie auf der Seite SSL-Port den Standardwert, oder geben Sie einen neuen Wert ein. Klicken Sie anschließend auf Weiter. Der Standardport für SSL-Verbindungen ist 443.

    Wichtig

    Notieren Sie sich den SSL-Port, den Sie zuweisen. Bevor Sie den Standardwert übernehmen, sollten Sie sicherstellen, dass der Port von keinem anderen Serverzertifikat verwendet wird. Jedes Serverzertifikat, das Sie installieren, benötigt einen andern SSL-Port. Wenn beispielsweise der Standardport 443 noch nicht verwendet wird und Sie für die Team Foundation Server-Website den Standardport 443 übernehmen, müssen Sie der Standardwebsite und der SharePoint-Zentraladministrationswebsite unterschiedliche Ports zuweisen.

  11. Überprüfen Sie die Informationen über die Seite Zertifikatzusammenfassung, und klicken Sie anschließend auf Weiter.

  12. Klicken Sie auf Fertig stellen.

  13. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Authentifizierung und Zugriffsteuerung auf Bearbeiten.

  14. Stellen Sie unter Authentifizierungsmethoden sicher, dass das Feld Anonymen Zugriff aktivieren leer ist. Wählen Sie unter Authentifizierter Zugriff die Optionen Integrierte Windows-Authentifizierung und Digestauthentifizierung für Windows-Domänenserver aus. Entfernen Sie alle anderen Markierungen, und klicken Sie anschließend auf OK.

    Hinweis

    Möglicherweise werden Sie nach dem Klicken auf Digestauthentifizierung für Windows-Domänenserver aufgefordert, Ihre Auswahl zu bestätigen. Lesen Sie den Text, und klicken Sie anschließend auf Ja.

  15. Klicken Sie auf OK, um das Dialogfeld Team Foundation Server-Eigenschaften zu schließen.

    Hinweis

    Wenn das Dialogfeld Vererbungsaußerkraftsetzungen angezeigt wird, nachdem Sie auf OK geklickt haben, klicken Sie auf Alles Auswählen und anschließend auf OK.

Zuweisen des Zertifikats zur Standardwebsite

Gehen Sie folgendermaßen vor, um HTTPS in IIS auf der Standardwebsite einzurichten.

So richten Sie HTTPS auf der Standardwebsite ein und erfordern SSL

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, klicken Sie auf Verwaltung und anschließend auf Internetinformationsdienste-Manager.

  2. Erweitern Sie <Computername> (lokaler Computer), und erweitern Sie anschließend Websites.

  3. Klicken Sie mit der rechten Maustaste auf Standardwebsite, und wählen Sie Eigenschaften aus.

  4. Klicken Sie in Eigenschaften von Standardwebsite auf die Registerkarte Verzeichnissicherheit.

  5. Klicken Sie unter Sichere Kommunikation auf Serverzertifikat.

    Der Assistent für Webserverzertifikate wird angezeigt. Klicken Sie auf Weiter.

  6. Wählen Sie auf der Seite Serverzertifikat die Option Vorhandenes Zertifikat hinzufügen aus, und klicken Sie dann auf Weiter.

  7. Wählen Sie auf der Seite Verfügbare Zertifikate das Zertifikat aus, dessen Angezeigter Name auf Team Foundation Server lautet. Möglicherweise müssen Sie einen Bildlauf durchführen, um die Spalte Angezeigter Name in der Liste anzuzeigen. Klicken Sie auf Weiter.

  8. Übernehmen Sie auf der Seite SSL-Port den Standardwert, oder geben Sie einen neuen Wert ein. Klicken Sie anschließend auf Weiter. Der Standardport für SSL-Verbindungen ist 443.

    Wichtig

       Notieren Sie sich den SSL-Port. Jedes Serverzertifikat, das Sie installieren, benötigt einen andern SSL-Port. Wenn Sie beispielsweise den Standardport 443 für die Team Foundation Server-Website übernehmen, müssen Sie der Standardwebsite und der SharePoint-Zentraladministrationswebsite einen anderen Port zuweisen.

  9. Überprüfen Sie die Informationen über die Seite Zertifikatzusammenfassung, und klicken Sie anschließend auf Weiter.

  10. Klicken Sie auf Fertig stellen. Der Assistent wird geschlossen.

  11. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Sichere Kommunikation auf Bearbeiten.

  12. Wählen Sie unter Sichere Kommunikation die Option Sicherer Kanal (SSL) erforderlich aus. Stellen Sie sicher, dass Clientzertifikate ignorieren ausgewählt ist, und klicken Sie anschließend auf OK.

  13. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Authentifizierung und Zugriffsteuerung auf Bearbeiten.

  14. Stellen Sie unter Authentifizierungsmethoden sicher, dass das Feld Anonymen Zugriff aktivieren leer ist. Wählen Sie unter Authentifizierter Zugriff die Optionen Integrierte Windows-Authentifizierung und Digestauthentifizierung für Windows-Domänenserver aus. Entfernen Sie alle anderen Markierungen, und klicken Sie anschließend auf OK.

    Hinweis

       Möglicherweise werden Sie nach dem Klicken auf Digestauthentifizierung für Windows-Domänenserver aufgefordert, Ihre Auswahl zu bestätigen. Lesen Sie den Text, und klicken Sie anschließend auf Ja.

  15. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Standardwebsite zu schließen.

    Hinweis

       Wenn das Dialogfeld Vererbungsaußerkraftsetzungen angezeigt wird, nachdem Sie auf OK geklickt haben, klicken Sie auf Alles Auswählen und anschließend auf OK.

Zuweisen des Zertifikats zur SharePoint-Zentraladministration

Gehen Sie folgendermaßen vor, um HTTPS für die SharePoint-Zentraladministration einzurichten.

So richten Sie HTTPS für die SharePoint-Zentraladministration ein und erfordern SSL

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, klicken Sie auf Verwaltung und anschließend auf Internetinformationsdienste-Manager.

  2. Erweitern Sie <Computername> (lokaler Computer), und erweitern Sie anschließend Websites.

  3. Klicken Sie mit der rechten Maustaste auf SharePoint-Zentraladministration, und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie in Eigenschaften von SharePoint-Zentraladministration auf die Registerkarte Verzeichnissicherheit.

  5. Klicken Sie unter Sichere Kommunikation auf Serverzertifikat.

    Der Assistent für Webserverzertifikate wird angezeigt. Klicken Sie auf Weiter.

  6. Wählen Sie auf der Seite Serverzertifikat die Option Vorhandenes Zertifikat hinzufügen aus, und klicken Sie dann auf Weiter.

  7. Wählen Sie auf der Seite Verfügbare Zertifikate das Zertifikat aus, dessen Angezeigter Name auf Team Foundation Server lautet. Möglicherweise müssen Sie einen Bildlauf durchführen, um die Spalte Angezeigter Name in der Liste anzuzeigen.

  8. Klicken Sie auf Weiter.

  9. Übernehmen Sie auf der Seite SSL-Port den Standardwert, oder geben Sie einen neuen Wert ein. Klicken Sie anschließend auf Weiter. Der Standardport für SSL-Verbindungen ist 443.

    Wichtig

       Notieren Sie sich den SSL-Port. Jedes Serverzertifikat, das Sie installieren, benötigt einen andern SSL-Port. Wenn Sie beispielsweise den Standardport 443 für die Team Foundation Server-Website übernehmen, müssen Sie der Standardwebsite und der SharePoint-Zentraladministrationswebsite einen anderen Port zuweisen.

    Hinweis

       Notieren Sie sich diesen Wert, da Sie ihn für die Zuweisung des Zertifikats zum SQL-Berichtsserver benötigen werden.

  10. Überprüfen Sie die Informationen über die Seite Zertifikatzusammenfassung, und klicken Sie anschließend auf Weiter.

  11. Klicken Sie auf Fertig stellen.

  12. Klicken Sie auf der Registerkarte Verzeichnissicherheit unter Sichere Kommunikation auf Bearbeiten.

  13. Wählen Sie unter Sichere Kommunikation die Option Sicherer Kanal (SSL) erforderlich aus. Stellen Sie sicher, dass Clientzertifikate ignorieren ausgewählt ist, und klicken Sie anschließend auf OK.

  14. Klicken Sie auf OK, um das Dialogfeld SharePoint-Zentraladministration zu schließen.

Konfigurieren der Firewall, um SSL-Verkehr zuzulassen

Sie müssen Ihre Firewall so konfigurieren, dass Datenverkehr auf den SSL-Ports zugelassen wird, die Sie in IIS für die Standardwebsite, die Team Foundation Server-Website und die Website der SharePoint-Zentraladministration festgelegt haben.

Hinweis

Das Verfahren zum Zulassen von SSL-Datenverkehr ist abhängig von der Firewallsoftware, die Sie in Ihrer Bereitstellung verwenden.

So konfigurieren Sie eine Firewall für den Netzwerkverkehr über die SSL-Ports, die von Team Foundation Server verwendet werden

  • In der Produktbeschreibung zu Ihrer Firewall finden Sie die erforderlichen Schritte zum Zulassen von Netzwerkverkehr über die SSL-Ports, die Sie für die Standardwebsite, die Team Foundation Server-Website und die Webseite der SharePoint-Zentraladministration festgelegt haben.

Aktualisieren der Datei Web.Config, um E-Mail-Benachrichtigungswarnungen zuzulassen

Wenn Sie automatische E-Mail-Benachrichtigungswarnungen konfiguriert haben, gehen Sie folgendermaßen vor, um die Datei Web.Config so zu ändern, dass diese Warnungen ordnungsgemäß ausgeführt werden.

Hinweis

Wenn Sie keine E-Mail-Warnungen in der Team Foundation Server-Bereitstellung verwenden, können Sie dieses Verfahren überspringen.

So ändern Sie die Datei Web.Config für E-Mail-Benachrichtigungswarnungen

  1. Öffnen Sie auf dem Team Foundation-Anwendungsebenenserver einen Browser, und öffnen Sie das Verzeichnis Laufwerk**:\Program Files\Microsoft Visual Studio 2005 Team Foundation Server\Web Services**.

  2. Klicken Sie mit der rechten Maustaste auf die Datei Web.Config, und klicken Sie anschließend auf Bearbeiten. Wählen Sie ggf. einen Editor zum Ändern der Datei aus.

  3. Suchen Sie in der Datei Web.Config nach dem Element TFSUrlPublic. Heben Sie die Auskommentierung des Elements auf, und konfigurieren Sie die entsprechenden Werte für Ihre Bereitstellung. Wenn beispielsweise die Website Ihres Unternehmens www.contoso.com heißt und Ihre Bereitstellung den Standardport für HTTP-Proxy verwendet, konfigurieren Sie den Schlüssel folgendermaßen:

    <add key="TFSURLPublic" value=https://www.contoso.com: 8081"/>

  4. Speichern Sie die Datei, und schließen Sie den Editor.

Aktualisieren des Registrierungsschlüssels für den SQL-Berichtsserver

Gehen Sie folgendermaßen vor, um die Registrierung für den SQL-Berichtsserver so zu aktualisieren, dass die Berichte ordnungsgemäß auf den Portalsites des Teamprojekts angezeigt werden.

Warnung

Durch fehlerhaftes Bearbeiten der Registrierung kann das System schwerwiegend beschädigt werden. Bevor Sie die Registrierung ändern, sollten Sie wichtige Daten auf dem Computer sichern.

So aktualisieren Sie den Registrierungsschlüssel für den SQL-Berichtsserver

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, klicken Sie auf Ausführen, geben Sie regedit ein, und klicken Sie anschließend auf OK. Der Registrierungs-Editor wird geöffnet.

  2. Erweitern Sie im Registrierungs-Editor HKEY_LOCAL_MACHINE, Software, Microsoft, Visual Studio, 8.0, Team Foundation, und klicken Sie anschließend auf ReportServer.

  3. Klicken Sie mit der rechten Maustaste auf Schlüssel, und klicken Sie anschließend auf Ändern.

  4. Passen Sie im Dialogfeld Zeichenfolge bearbeiten unter Wert den Wert der HTTPS-Adresse Ihres Team Foundation-Anwendungsebenenservers an, und klicken Sie anschließend auf OK. Wenn der Name Ihres Servers auf Anwendungsebene beispielsweise Contoso1 ist, ändern Sie den Wert

    http://Contoso1

    in

    https://Contoso1

  5. Schließen Sie den Registrierungs-Editor.

Aktualisieren von SQL Server Management Studio

Gehen Sie folgendermaßen vor, um SQL Server Management Studio mit den HTTPS-URL-Werten für die Windows SharePoint Services- und Reporting Services-Websites zu aktualisieren.

So aktualisieren Sie SQL Server Management Studio

  1. Öffnen Sie SQL Server Management Studio auf dem Team Foundation-Server der Datenebene. Klicken Sie zum Öffnen von SQL Server Management Studio auf Start, Alle Programme, Microsoft SQL Server 2005, und klicken Sie anschließend auf SQL Server Management Studio.

  2. Wählen Sie im Dialogfeld Verbindung mit dem Server herstellen den Datenbankmodultyp für den Server aus. Wählen Sie den entsprechenden Servernamen und das Authentifizierungsschema für den Server aus. Geben Sie einen gültigen Benutzernamen und ein Kennwort ein, wenn dies für Ihre SQL Server-Installation erforderlich ist, und klicken Sie anschließend auf Verbinden.

  3. Erweitern Sie im Objekt-Explorer Datenbanken, TfsIntegration und Tabellen.

  4. Klicken Sie unter Tabellen mit der rechten Maustaste auf tbl_service_interface, und klicken Sie anschließend auf Tabelle öffnen.

    Die Tabelle dbo.tbl_service_interface wird für die Bearbeitung geöffnet.

  5. Suchen Sie in der Tabelle unter Name nach ReportsService. Passen Sie den URL-Eintrag dem neuen HTTPS-Wert für Reporting Services an. Stellen Sie sicher, dass Sie den Wert verwenden, den Sie für den SSL-Port der Standardwebsite in IIS festgelegt haben. Wenn Sie z. B. Port 1443 als SSL-Port der Standardwebsite in IIS festgelegt haben und der Name Ihres Servers auf Anwendungsebene Contoso1 ist, ändern Sie den Wert folgendermaßen:

    https://Contoso1:1443/ReportsService.asmx

  6. Suchen Sie in der Tabelle unter Name nach BaseReportsUrl. Passen Sie den URL-Eintrag dem neuen HTTPS-Wert für Teamberichte an. Stellen Sie sicher, dass Sie den Wert verwenden, den Sie für den SSL-Port der Standardwebsite in IIS festgelegt haben. Wenn Sie z. B. Port 1443 als SSL-Port der Standardwebsite in IIS festgelegt haben und der Name Ihres Servers auf Anwendungsebene Contoso1 ist, ändern Sie den Wert folgendermaßen:

    https://Contoso1:1443/Reports

  7. Suchen Sie in der Tabelle unter Name nach WSSAdminService. Passen Sie den URL-Eintrag dem neuen HTTPS-Wert für Windows SharePoint Services an. Stellen Sie sicher, dass Sie den Wert verwenden, den Sie für den SSL-Port der SharePoint-Zentraladministrationswebsite in IIS festgelegt haben. Wenn Sie z. B. Port 2443 als SSL-Port der SharePoint-Zentraladministrationswebsite in IIS festgelegt haben und der Name Ihres Servers auf Anwendungsebene Contoso1 ist, ändern Sie den Wert folgendermaßen:

    https://Contoso1:2443/_vti_adm/admin.asmx

  8. Suchen Sie in der Tabelle unter Name nach BaseServerUrl. Passen Sie den URL-Eintrag dem neuen HTTPS-Wert für die Standardwebsite des Team Foundation-Servers auf Anwendungsebene an. Stellen Sie sicher, dass Sie den Wert verwenden, den Sie für den SSL-Port der Standardwebsite in IIS festgelegt haben. Wenn Sie z. B. Port 1443 als SSL-Port der Standardwebsite in IIS festgelegt haben und der Name Ihres Servers auf Anwendungsebene Contoso1 ist, ändern Sie den Wert folgendermaßen:

    https://Contoso1:1443

  9. Suchen Sie in der Tabelle unter Name nach BaseSiteUrl. Passen Sie den URL-Eintrag dem neuen HTTPS-Wert für die Standardwebsite des Team Foundation-Servers auf Anwendungsebene an. Stellen Sie sicher, dass Sie den Wert verwenden, den Sie für den SSL-Port der Standardwebsite in IIS festgelegt haben. Wenn Sie z. B. Port 1443 als SSL-Port der Standardwebsite in IIS festgelegt haben und der Name Ihres Servers auf Anwendungsebene Contoso1 ist, ändern Sie den Wert folgendermaßen:

    https://Contoso1:1443/sites

  10. Suchen Sie in der Tabelle unter Name nach DataSourceServer. Passen Sie den URL-Eintrag dem neuen HTTPS-Wert für die Standardwebsite des Team Foundation-Servers auf Anwendungsebene an. Stellen Sie sicher, dass Sie den Wert verwenden, den Sie für den SSL-Port der Standardwebsite in IIS festgelegt haben. Wenn Sie z. B. Port 1443 als SSL-Port der Standardwebsite in IIS festgelegt haben und der Name Ihres Servers auf Anwendungsebene Contoso1 ist, ändern Sie den Wert folgendermaßen:

    https://Contoso1:1443/ReportServer

  11. Klicken Sie im Menü Datei auf Alle speichern.

  12. Schließen Sie SQL Server-Manager.

Konfigurieren von Reporting Services für SSL-Verbindungen

Gehen Sie folgendermaßen vor, um Reporting Services zum Erfordern von SSL zu konfigurieren.

So konfigurieren Sie den Berichtsserver für SSL-Verbindungen

  1. Klicken Sie auf dem Team Foundation-Anwendungsebenenserver auf Start, klicken Sie auf Programme und auf Microsoft SQL Server 2005. Klicken Sie auf Konfigurationstools und anschließend auf Reporting Services-Konfiguration.

  2. Stellen Sie im Dialogfeld Auswahl der Berichtsserver-Installationsinstanz sicher, dass Computer- und Instanzname richtig sind, und klicken Sie anschließend auf Verbinden.

  3. Klicken Sie im Explorer-Fenster auf Virtuelles Verzeichnis für den Berichtsserver.

  4. Wählen Sie unter Einstellungen des virtuellen Verzeichnisses für den Berichtsserver die Option SSL-Verbindungen erfordern aus. Wählen Sie unter Erforderlich für die Option 3 - Alle SOAP-APIs aus. Geben Sie im Feld Zertifikatname den Namen des Team Foundation auf Anwendungsebene ein, und klicken Sie anschließend auf Übernehmen.

  5. Schließen Sie den Konfigurations-Manager für Reporting Services.

Installieren des Zertifikats auf Buildservern

Wenn Sie Builddienste auf mindestens einem Server installieren, müssen Sie das Zertifikat auf jedem dieser Server installieren.

Hinweis

Um Builds über SLL auszuführen, muss das Zertifikat sowohl auf dem Buildcomputer für das Konto, unter dem der Builddienst ausgeführt wird, als auch auf dem Computer, der den Build startet, im Speicher vertrauenswürdiger Stammzertifizierungsstellen installiert sein.

So installieren Sie das Zertifikat auf einem Buildserver

  1. Melden Sie sich auf dem Buildserver mit einem Konto an, das Mitglied der Administratorengruppe dieses Computers ist.

  2. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https:// Zertifikatsserver : port /services/v1.0/serverstatus.asmx

  3. Ein Dialogfeld mit einer Sicherheitsmeldung wird angezeigt. Klicken Sie unter Sicherheitswarnung auf Zertifikat anzeigen.

  4. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Zertifizierungspfad.

  5. Klicken Sie unter Zertifizierungspfad auf die Zertifizierungsstelle. Dies sollte der oberste Knoten der Zertifizierungshierarchie sein. Neben dem Namen sollte sich ein rotes X befinden. Dies weist darauf hin, dass die Zertifizierungsstelle nicht vertrauenswürdig ist, da sie sich nicht im Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet. Klicken Sie auf Zertifikat anzeigen.

  6. Klicken Sie im Dialogfeld Zertifikat auf Zertifikat installieren.

    Der Zertifikatimport-Assistent wird geöffnet. Klicken Sie auf Weiter.

  7. Wählen Sie auf der Seite Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern aus, und klicken Sie anschließend auf Durchsuchen.

  8. Wählen Sie in Zertifikatspeicher auswählen die Option Physikalischen Speicher anzeigen aus. Erweitern Sie unter Wählen Sie den Zertifikatspeicher, der verwendet werden soll den Eintrag Vertrauenswürdige Stammzertifizierungsstellen, wählen Sie Lokaler Computer, und klicken Sie anschließend auf OK.

  9. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter.

  10. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  11. Möglicherweise wird das Dialogfeld Zertifikatimport-Assistent angezeigt. Dadurch wird bestätigt, dass der Importvorgang erfolgreich war. Wenn das Dialogfeld angezeigt wird, klicken Sie auf OK.

  12. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für die oberste Knotenzertifizierungshierarchie wird geschlossen.

  13. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für das untergeordnete Zertifikat wird geschlossen.

  14. Klicken Sie unter Sicherheitswarnung auf Nein.

  15. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https:// Zertifikatsserver : port /services/v1.0/serverstatus.asmx

  16. Die Seite ServerStatus-Webdienst sollte geöffnet werden. Dadurch wird bestätigt, dass das Zertifikat und die Zertifizierungsstelle ordnungsgemäß installiert wurden. Schließen Sie den Browser.

Installieren des Zertifikats auf Team Foundation Server-Proxycomputern

Wenn Sie den Team Foundation Server-Proxy auf mindestens einem Computer installiert haben, müssen Sie das Zertifikat auf jedem dieser Computer installieren. 

So installieren Sie das Zertifikat auf Team Foundation Server-Proxycomputern

  1. Melden Sie sich auf dem Team Foundation Server-Proxyserver mit einem Konto an, das Mitglied der Administratorengruppe dieses Computers ist.

  2. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https:// Zertifikatsserver : port /services/v1.0/serverstatus.asmx

  3. Ein Dialogfeld mit einer Sicherheitsmeldung wird angezeigt. Klicken Sie unter Sicherheitswarnung auf Zertifikat anzeigen.

  4. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Zertifizierungspfad.

  5. Klicken Sie unter Zertifizierungspfad auf die Zertifizierungsstelle. Dies sollte der oberste Knoten der Zertifizierungshierarchie sein. Neben dem Namen sollte sich ein rotes X befinden. Dies weist darauf hin, dass die Zertifizierungsstelle nicht vertrauenswürdig ist, da sie sich nicht im Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet. Klicken Sie auf Zertifikat anzeigen.

  6. Klicken Sie im Dialogfeld Zertifikat auf Zertifikat installieren.

    Der Zertifikatimport-Assistent wird geöffnet. Klicken Sie auf Weiter.

  7. Wählen Sie auf der Seite Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern aus, und klicken Sie anschließend auf Durchsuchen.

  8. Wählen Sie in Zertifikatspeicher auswählen die Option Physikalischen Speicher anzeigen aus. Erweitern Sie unter Wählen Sie den Zertifikatspeicher, der verwendet werden soll den Eintrag Vertrauenswürdige Stammzertifizierungsstellen, wählen Sie Lokaler Computer, und klicken Sie anschließend auf OK.

  9. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter.

  10. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  11. Möglicherweise wird das Dialogfeld Zertifikatimport-Assistent angezeigt. Dadurch wird bestätigt, dass der Importvorgang erfolgreich war. Wenn dieses Dialogfeld angezeigt wird, klicken Sie auf OK.

  12. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für die oberste Knotenzertifizierungshierarchie wird geschlossen.

  13. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für das untergeordnete Zertifikat wird geschlossen.

  14. Klicken Sie unter Sicherheitswarnung auf Nein.

  15. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https:// Zertifikatsserver : port /services/v1.0/serverstatus.asmx

  16. Die Seite ServerStatus-Webdienst sollte geöffnet werden. Dadurch wird bestätigt, dass das Zertifikat und die Zertifizierungsstelle ordnungsgemäß installiert wurden. Schließen Sie den Browser.

Installieren des Zertifikats auf Clientcomputern

Das Zertifikat muss auf jedem Clientcomputer, der auf Team Foundation Server zugreift, lokal installiert sein. Wenn vom Clientcomputer kürzlich auf ein Team Foundation Server-Teamprojekt zugegriffen wurde, müssen Sie zusätzlich den Clientcache für jeden Benutzer löschen, der den Computer verwendet hat, um eine Verbindung mit Team Foundation Server herzustellen, andernfalls ist dies nicht möglich.

Wichtig

Dieses Verfahren ist nicht geeignet für Team Foundation-Clients, die auf Team Foundation Server selbst installiert wurden.

So installieren Sie das Zertifikat auf einem Team Foundation-Clientcomputer

  1. Melden Sie sich auf dem Team Foundation-Clientcomputer mit einem Konto an, das Mitglied der Gruppe Administratoren dieses Computers ist.

  2. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https:// Zertifikatsserver : port /services/v1.0/serverstatus.asmx

  3. Ein Dialogfeld mit einer Sicherheitsmeldung wird angezeigt. Klicken Sie unter Sicherheitswarnung auf Zertifikat anzeigen.

  4. Klicken Sie im Dialogfeld Zertifikat auf die Registerkarte Zertifizierungspfad.

  5. Klicken Sie unter Zertifizierungspfad auf die Zertifizierungsstelle. Dies sollte der oberste Knoten der Zertifizierungshierarchie sein. Neben dem Namen sollte sich ein rotes X befinden. Dies weist darauf hin, dass die Zertifizierungsstelle nicht vertrauenswürdig ist, da sie sich nicht im Speicher vertrauenswürdiger Stammzertifizierungsstellen befindet. Klicken Sie auf Zertifikat anzeigen.

  6. Klicken Sie im Dialogfeld Zertifikat auf Zertifikat installieren.

    Der Zertifikatimport-Assistent wird geöffnet. Klicken Sie auf Weiter.

  7. Wählen Sie auf der Seite Zertifikatspeicher die Option Alle Zertifikate in folgendem Speicher speichern aus, und klicken Sie anschließend auf Durchsuchen.

  8. Wählen Sie in Zertifikatspeicher auswählen die Option Physikalischen Speicher anzeigen aus. Erweitern Sie unter Wählen Sie den Zertifikatspeicher, der verwendet werden soll den Eintrag Vertrauenswürdige Stammzertifizierungsstellen, wählen Sie Lokaler Computer, und klicken Sie anschließend auf OK.

  9. Klicken Sie auf der Seite Zertifikatspeicher auf Weiter.

  10. Klicken Sie auf der Seite Fertigstellen des Assistenten auf Fertig stellen.

  11. Möglicherweise wird das Dialogfeld Zertifikatimport-Assistent angezeigt. Dadurch wird bestätigt, dass der Importvorgang erfolgreich war. Wenn das Dialogfeld angezeigt wird, klicken Sie auf OK.

  12. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für die oberste Knotenzertifizierungshierarchie wird geschlossen.

  13. Klicken Sie im Dialogfeld Zertifikat auf OK. Das Dialogfeld Zertifikat für das untergeordnete Zertifikat wird geschlossen.

  14. Klicken Sie unter Sicherheitswarnung auf Nein.

  15. Öffnen Sie einen Browser und darin die folgende Website, wobei Zertifikatsserver der Name Ihres Zertifikatsservers und port der SSL-Port ist, den Sie der Zertifizierungsstelle zugewiesen haben:

    https:// Zertifikatsserver : port /services/v1.0/serverstatus.asmx

  16. Die Seite ServerStatus-Webdienst sollte geöffnet werden. Dadurch wird bestätigt, dass das Zertifikat und die Zertifizierungsstelle ordnungsgemäß installiert wurden. Schließen Sie den Browser.

So löschen Sie den Cache auf einem Team Foundation-Clientcomputer

  1. Melden Sie sich auf dem Team Foundation-Clientcomputer mit den Anmeldeinformationen des Benutzers an, den Sie aktualisieren möchten.

  2. Schließen Sie auf dem Team Foundation-Clientcomputer alle offenen Instanzen von Visual Studio.

  3. Öffnen Sie einen Browser und darin den folgenden Ordner:

    Laufwerk :\Documents and Settings\ username \Local Settings\Application Data\Microsoft\Team Foundation\1.0\Cache

  4. Löschen Sie den Inhalt des Cacheverzeichnisses. Stellen Sie sicher, dass alle Unterordner gelöscht werden.

  5. Klicken Sie auf Start, Ausführen, und geben Sie devenv /resetuserdata ein. Klicken Sie anschließend auf OK.

  6. Wiederholen Sie diese Schritte für jedes Benutzerkonto auf dem Computer, das auf Team Foundation Server zugreift.

    Hinweis

    Sie können Anweisungen zum Löschen des Cache an alle Team Foundation Server-Benutzer verteilen, sodass diese in der Lage sind, den Cache selbst zu löschen.

Siehe auch

Konzepte

Team Foundation Server, HTTPS und SSL (Secure Sockets Layer)

Weitere Ressourcen

Exemplarische Vorgehensweisen für die Verwaltung von Team Foundation
Sichern von Team Foundation Server mit HTTPS und SSL (Secure Sockets Layer)