Procedura dettagliata: impostazione di Team Foundation Server con Secure Sockets Layer (SSL) e un filtro ISAPI

Aggiornamento: novembre 2007

Nella seguente procedura dettagliata viene descritto come richiedere, emettere e assegnare i certificati utilizzati per le connessioni SSL (Secure Sockets Layer) in Visual Studio Team System Team Foundation Server nonché come configurare l'autenticazione di base e/o digest e un filtro ISAPI. Per supportare connessioni esterne alle distribuzioni di Team Foundation Server, è necessario configurare Internet Information Services (IIS) per l'attivazione dell'autenticazione di base e/o digest. È inoltre necessario configurare un filtro ISAPI (Internet Server Application Programming Interface).

Nota:
Non è necessario configurare un filtro ISAPI per abilitare i protocolli HTTPS/SSL. In questa procedura dettagliata vengono fornite le linee guida per la configurazione di tutte le attività seguenti, ma è possibile configurare una distribuzione di Team Foundation Server in modo diverso.

Nel corso di questa procedura dettagliata verranno completate le seguenti attività:

1. Creazione di una richiesta di certificato per i siti Web di Team Foundation.

2. Emissione della richiesta di certificato e creazione del file di certificato binario.

3. Installazione e assegnazione del certificato.

4. Configurazione di Team Foundation Server per i protocolli HTTPS e SSL.

5. Installazione del certificato nei computer client.

6. Verifica del certificato.

Nota:
Per i passaggi di questa procedura dettagliata non è necessario che i client utilizzino solo HTTPS e SSL durante le connessioni a Team Foundation. Per ulteriori informazioni su come limitare le connessioni in modo che vengano utilizzati solo i protocolli HTTPS e SSL, vedere Procedura dettagliata: impostazione di Team Foundation Server per l'utilizzo di HTTPS e Secure Sockets Layer (SSL).

Prerequisiti

Per completare questa procedura dettagliata:

• I componenti logici che comprendono il livello dati e applicazione Team Foundation di Team Foundation Server devono essere installati e operativi. Questa procedura dettagliata si riferisce al server o ai server che eseguono i componenti logici che comprendono il livello applicazione Team Foundation come server di livello applicazione di Team Foundation. Si riferisce anche al server o ai server che eseguono i componenti logici che comprendono il livello dati Team Foundation come server di livello dati di Team Foundation. In base alla configurazione della distribuzione, il server di livello applicazione e quello di livello dati Team Foundation potrebbero corrispondere allo stesso server fisico o a uno o più server fisici differenti. Per ulteriori informazioni, vedere la guida all'installazione di Team Foundation. È possibile scaricare la versione più aggiornata della guida all'installazione di Team Foundation dall'Area download Microsoft all'indirizzo https://go.microsoft.com/fwlink/?linkid=79226 (informazioni in lingua inglese).

• Per emettere certificati, è necessario disporre di un'Autorità di certificazione (CA). In questa procedura si presuppone che l'utente utilizzi come autorità di certificazione Servizi certificati Microsoft. Se non si dispone di un'Autorità di certificazione, è possibile installare Servizi certificati Microsoft per configurarla. Per ulteriori informazioni, vedere il sito Web Microsoft all'indirizzo https://go.microsoft.com/fwlink/?LinkId=70929.

Autorizzazioni necessarie

Per completare questa procedura, è necessario essere membro del gruppo Administrators sui server di livello dati e di livello applicazione Team Foundation e del gruppo Administrators di Team Foundation. Per configurare un agente di compilazione per le connessioni SSL, è necessario essere membro del gruppo Administrators sul computer di compilazione. Per ulteriori informazioni sulle autorizzazioni, vedere Autorizzazioni per Team Foundation Server.

Presupposti

In questa procedura dettagliata si presuppongono le seguenti condizioni:

• Il server di livello dati e quello di livello applicazione Team Foundation sono stati installati e distribuiti in un ambiente sicuro e sono stati configurati in base alle procedure di sicurezza consigliate.

• L'amministratore che configura Team Foundation con SSL ha familiarità con le infrastrutture a chiave pubblica (PKI) e i certificati, nonché con la richiesta, l'emissione e l'assegnazione di certificati. Per ulteriori informazioni su infrastrutture a chiave pubblica e certificati, vedere il sito Web Microsoft all'indirizzo https://go.microsoft.com/fwlink/?LinkId=70930.

• L'amministratore ha familiarità con la configurazione di Internet Information Services (IIS), Microsoft SQL Server e le impostazioni di rete e conosce la topologia di rete dell'ambiente di sviluppo.

• Per configurare un agente di compilazione per le connessioni SSL:

  • Team Foundation Build e Team Explorer devono essere installati e funzionanti.

  • Deve essere stato emesso un certificato per l'agente di compilazione.

  • Windows Support Tools deve essere installato nel computer di compilazione. Questi strumenti sono necessari per associare un certificato all'indirizzo IP e alla porta. Per ulteriori informazioni, vedere "Windows Support Tools" all’indirizzo https://go.microsoft.com/fwlink/?LinkId=93827(informazioni in lingua inglese).

Installazione di Servizi certificati Microsoft

In questa procedura dettagliata viene utilizzato Servizi certificati Microsoft come Autorità di certificazione (CA) per l'emissione di certificati. Per comodità, questa procedura dettagliata prevede l'installazione di Servizi certificati nel server di livello applicazione di Team Foundation. Tuttavia, è possibile utilizzare un software di autorità di certificazione e una configurazione di distribuzione di propria scelta, in modo da soddisfare in modo ottimale le esigenze aziendali. Ai fini della sicurezza, è necessario isolare l'Autorità di certificazione principale quando si distribuisce Servizi certificati in un ambiente di produzione. L'isolamento fisico del server dell'Autorità di certificazione in una struttura disponibile solo agli amministratori della sicurezza può ridurre significativamente il rischio di manomissione. Per ulteriori informazioni sulle funzionalità di Servizi certificati e le procedure consigliate, vedere il sito Web Microsoft all'indirizzo https://go.microsoft.com/fwlink/?LinkId=70929.

Attenzione:
Dopo avere installato Servizi certificati, non risulterà più possibile modificare il nome del computer o il dominio di cui fa parte il computer. Se si modifica il nome del computer o il dominio, il certificato emesso dall'Autorità di certificazione non sarà più valido.

Per installare Servizi certificati

1. Fare clic sul pulsante Start, scegliere Pannello di controllo, quindi Installazione applicazioni.

2. Scegliere Installazione componenti di Windows.

3. Nella finestra Aggiunta guidata componenti di Windows selezionare Servizi certificati dall'elenco Componenti.

4. Controllare il testo nella finestra di messaggio, quindi scegliere Sì.

5. Scegliere Avanti per iniziare l'installazione.

6. Nella pagina Tipo CA selezionare CA principale autonoma (standalone), quindi scegliere Avanti.

7. Nella pagina Informazioni identificazione Autorità di certificazione (CA) digitare il nome del computer nella casella Nome comune per la CA.

8. In Periodo di validità modificare la durata del certificato in sei (6) mesi, quindi scegliere Avanti.

9. Nella pagina Impostazioni database certificati scegliere Avanti senza apportare modifiche.

   Verrà visualizzata una finestra di messaggio indicante la necessità di arrestare IIS.

10. Scegliere Sì nella finestra di messaggio.

    Verrà visualizzata la pagina Configurazione componenti in corso.

11. Se viene visualizzata una finestra di messaggio con informazioni su Active Server Pages (ASP), scegliere Sì.

12. Scegliere Fine.

Creazione di una richiesta di certificato per i siti Web di Team Foundation Server

Nel computer di livello applicazione è necessario creare una richiesta di certificato per Team Foundation tramite Gestione Internet Information Services (IIS).

Per creare una richiesta di certificato per i siti Web di Team Foundation Server

1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi Gestione Internet Information Services (IIS).

2. Espandere nomecomputer (computer locale), quindi Siti Web.

3. Fare clic con il pulsante destro del mouse su Team Foundation Server e scegliere Proprietà.

4. Nella finestra Proprietà - Team Foundation Server fare clic sulla scheda Sicurezza directory.

5. In Comunicazioni sicure fare clic su Certificato server.

   Verrà avviata la Gestione guidata certificati server Web. Scegliere Avanti.

6. Nella pagina Certificato server fare clic su Crea un nuovo certificato, quindi scegliere Avanti.

7. Nella pagina Richiesta con invio immediato o posticipato scegliere Avanti.

8. Nella pagina Nome e impostazioni di sicurezza scegliere Avanti senza apportare modifiche.

9. Nella pagina Informazioni organizzazione specificare i valori per le caselle Organizzazione e Unità organizzativa (indica l'ufficio o il reparto). Digitare ad esempio il nome della propria azienda in Organizzazione e il nome del proprio team o reparto in Unità organizzativa (indica l'ufficio o il reparto). Scegliere Avanti.

10. Nella pagina Nome comune del sito scegliere Avanti senza apportare modifiche.

11. Nella pagina Dati geografici specificare le informazioni appropriate nella caselle Paese, Provincia e Città/località, quindi scegliere Avanti.

12. Nella pagina Nome file richiesta certificato in Nome file specificare il percorso in cui salvare il file della richiesta di certificato e il nome del file, quindi scegliere Avanti.

    Nota:
    Assicurarsi di salvare il file della richiesta di certificato in una condivisione di rete o in un altro percorso accessibile dal computer dell'Autorità di certificazione.

13. Controllare le informazioni elencate nella pagina Riepilogo file richiesta e scegliere Avanti.

14. Scegliere Fine.

15. Scegliere OK per chiudere la finestra di dialogo Proprietà - Team Foundation Server.

Emissione di una richiesta di certificato e creazione di un file di certificato binario

Dopo avere creato una richiesta di certificato, è necessario che l'autorità di certificazione, in questo caso Servizi certificati Microsoft, emetta un certificato in base a tale richiesta. Al termine della creazione, il certificato potrà essere assegnato ai siti Web appropriati tramite IIS.

Per emettere una richiesta di certificato con Servizi certificati Microsoft

1. Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi Autorità di certificazione.

2. Nel riquadro di esplorazione fare clic con il pulsante destro del mouse sul nome del computer, scegliere Tutte le attività, quindi fare clic su Invia nuova richiesta.

3. Nella finestra di dialogo Apri file di richiesta individuare il file di testo della richiesta di certificato creato nella procedura precedente, quindi scegliere Apri.

4. Nel riquadro di esplorazione espandere il nome del computer, quindi fare clic su Richieste in sospeso.

5. Annotare il valore ID richiesta relativo alla richiesta in sospeso.

6. Fare clic con il pulsante destro del mouse sulla richiesta, scegliere Tutte le attività, quindi fare clic su Emetti.

7. Nel riquadro di esplorazione selezionare Certificati emessi al di sotto del nome del computer per controllare che sia stato emesso un certificato corrispondente al valore di ID richiesta per la richiesta.

8. In Certificati emessi fare clic con il pulsante destro del mouse sul certificato emesso, scegliere Tutte le attività, quindi fare clic su Esporta dati binari.

9. In Colonne contenenti dati binari selezionare Certificato binario. In Opzioni di esportazione selezionare Salva dati binari in un file, quindi scegliere OK.

10. In Salva dati binari salvare il file in un dispositivo portatile multimediale o in una condivisione di rete a cui sia possibile accedere dal computer di livello applicazione Team Foundation.

11. Chiudere la finestra Autorità di certificazione.

Installazione e assegnazione del certificato

Per utilizzare SSL con Team Foundation, è innanzitutto necessario installare il certificato server nel sito Web di Team Foundation, quindi configurare HTTPS sui siti Web correlati a Team Foundation. Tali siti Web sono i seguenti:

• Sito Web predefinito

• Amministrazione centrale SharePoint

• Server report

Installazione del certificato del server

Per installare il certificato server in Team Foundation, attenersi alla procedura riportata di seguito.

Per installare il certificato del server nel sito Web di Team Foundation Server

1. Nel server di livello applicazione Team Foundation scegliere Strumenti di amministrazione, dal menu Start, quindi Gestione Internet Information Services (IIS).

2. Espandere <nomecomputer> (computer locale), quindi Siti Web.

3. Fare clic con il pulsante destro del mouse su Team Foundation Server e scegliere Proprietà.

4. Nella finestra Proprietà - Team Foundation Server fare clic sulla scheda Sicurezza directory.

5. In Comunicazioni sicure fare clic su Certificato server.

   Verrà avviata la Gestione guidata certificati server Web. Scegliere Avanti.

6. Nella pagina Richiesta di certificato in sospeso selezionare Elabora la richiesta in sospeso e installa il certificato, quindi scegliere Avanti.

7. Nella pagina Elaborazione di una richiesta in sospeso fare clic su Sfoglia.

8. Nella finestra di dialogo Apri selezionare Tutti i file (*.*) nell'elenco a discesa Tipo file, quindi passare alla directory in cui è stato salvato il certificato binario nella procedura precedente. Selezionare il file di certificato binario e fare clic su Apri.

9. Nella pagina Elaborazione di una richiesta in sospeso scegliere Avanti.

10. Nella pagina Porta SSL accettare il valore predefinito o immettere un nuovo valore, quindi scegliere Avanti. La porta predefinita per le connessioni SSL è 443, ma occorre assegnare un valore di porta univoco per ognuno dei tre siti Web seguenti: Team Foundation Server, predefinito e Amministrazione centrale SharePoint.

    Nota importante:

    Utilizzare un numero di porta diverso da quello predefinito, in quanto l'utilizzo della porta predefinita può ridurre la sicurezza della distribuzione. Annotare il valore della porta SSL assegnato. Prima di accettare il valore predefinito, assicurarsi che la porta non sia utilizzata da un altro certificato server. I valori della porta SSL devono essere diversi per ogni certificato server che si installa. Se, ad esempio, la porta predefinita 443 non è ancora utilizzata e si accetta il valore di porta predefinito 443 per il sito Web di Team Foundation, è necessario assegnare un valore di porta diverso per il sito Web predefinito e per il sito Web Amministrazione centrale SharePoint.

11. Controllare le informazioni nella pagina Riepilogo certificato, quindi scegliere Avanti.

12. Scegliere Fine.

13. In Controllo autenticazione e accesso nella scheda Sicurezza directory fare clic su Modifica.

14. In Metodi di autenticazione assicurarsi che la casella Abilita accesso anonimo sia deselezionata. In Accesso con autenticazione selezionare Autenticazione integrata di Windows e Autenticazione di base o Autenticazione del digest per server di dominio Windows oppure entrambe, a seconda della distribuzione. Deselezionare tutte le altre opzioni, quindi scegliere OK. Per ulteriori informazioni sui metodi di autenticazione e Team Foundation Server, vedere Team Foundation Server, autenticazione di base e autenticazione del digest.

    Nota:
    Dopo avere fatto clic su Autenticazione del digest per server di dominio Windows, è possibile che venga richiesto di confermare la selezione. Leggere il testo visualizzato, quindi scegliere Sì.

    Nota importante:

    È necessario configurare correttamente l'autenticazione digest. In caso contrario, i tentativi di accesso a Team Foundation Server avranno esito negativo. Non scegliere l'autenticazione digest se le distribuzioni non soddisfano tutti i requisiti necessari. Per ulteriori informazioni sull’autenticazione digest, vedere il sito Web Microsoft all’indirizzo: https://go.microsoft.com/fwlink/?LinkId=89709 (informazioni in lingua inglese).

15. Scegliere OK per chiudere la finestra di dialogo Proprietà Team Foundation Server.

    Nota:
    Se dopo avere scelto OK viene visualizzata la finestra di dialogo Proprietà ereditate ignorate, fare clic su Seleziona tutto, quindi scegliere OK.

Assegnazione del certificato al sito Web predefinito

Attenersi ai seguenti passaggi per configurare HTTPS nel sito Web predefinito in IIS.

Nota:
A seconda della gerarchia di certificazione e dell'infrastruttura a chiave pubblica, è possibile che sia opportuno configurare anche IIS per l'autenticazione del certificato client. Per ulteriori informazioni, vedere Certificates (IIS 6.0), Certificate Services e Certificates nel sito Web Microsoft (informazioni in lingua inglese).

Per impostare HTTPS nel sito Web predefinito

1. Nel server di livello applicazione Team Foundation scegliere Strumenti di amministrazione, dal menu Start, quindi Gestione Internet Information Services (IIS).

2. Espandere <nomecomputer> (computer locale), quindi Siti Web.

3. Fare clic con il pulsante destro del mouse su Sito Web predefinito, quindi scegliere Proprietà.

4. Nella finestra Proprietà - Sito Web predefinito fare clic sulla scheda Sicurezza directory.

5. In Comunicazioni sicure fare clic su Certificato server.

   Verrà avviata la Gestione guidata certificati server Web. Scegliere Avanti.

6. Nella pagina Certificato server selezionare Assegna un certificato esistente, quindi scegliere Avanti.

7. Nella pagina Certificati disponibili selezionare il certificato il cui valore in Nome descrittivo corrisponde a Team Foundation Server. Potrebbe essere necessario scorrere l'elenco per visualizzare la colonna Nome descrittivo. Scegliere Avanti.

8. Nella pagina Porta SSL accettare il valore predefinito o immettere un nuovo valore, quindi scegliere Avanti. La porta predefinita per le connessioni SSL è 443, ma occorre assegnare un valore di porta univoco per ognuno dei tre siti Web seguenti: Team Foundation Server, predefinito e Amministrazione centrale SharePoint.

   Nota importante:

   Utilizzare un numero di porta diverso da quello predefinito, in quanto l'utilizzo del numero predefinito può ridurre la sicurezza della distribuzione. Annotare il valore della porta SSL. I valori della porta SSL devono essere diversi per ogni certificato server che si installa. Se, ad esempio, si accetta il valore di porta predefinito 443 per il sito Web di Team Foundation, è necessario assegnare un valore di porta diverso per il sito Web predefinito e il sito Web Amministrazione centrale SharePoint.

9. Controllare le informazioni nella pagina Riepilogo certificato, quindi scegliere Avanti.

10. Scegliere Fine. La procedura guidata verrà chiusa.

11. In Controllo autenticazione e accesso nella scheda Sicurezza directory fare clic su Modifica.

12. In Metodi di autenticazione assicurarsi che la casella Abilita accesso anonimo sia deselezionata. In Accesso con autenticazione selezionare Autenticazione integrata di Windows e Autenticazione di base o Autenticazione del digest per server di dominio Windows oppure entrambe, a seconda della distribuzione. Deselezionare tutte le altre opzioni, quindi scegliere OK. Per ulteriori informazioni sui metodi di autenticazione e Team Foundation Server, vedere Team Foundation Server, autenticazione di base e autenticazione del digest.

    Nota:
    Dopo avere fatto clic su Autenticazione del digest per server di dominio Windows, è possibile che venga richiesto di confermare la selezione. Leggere il testo visualizzato, quindi scegliere Sì.

13. Scegliere OK per chiudere la finestra di dialogo Proprietà - Sito Web predefinito.

    Nota:
    Se dopo avere scelto OK viene visualizzata la finestra di dialogo Proprietà ereditate ignorate, fare clic su Seleziona tutto, quindi scegliere OK.

Assegnazione del certificato ad Amministrazione centrale SharePoint

Attenersi ai seguenti passaggi per configurare HTTPS per Amministrazione centrale SharePoint.

Per impostare HTTPS per Amministrazione centrale SharePoint

1. Nel server di livello applicazione Team Foundation scegliere Strumenti di amministrazione, dal menu Start, quindi Gestione Internet Information Services (IIS).

2. Espandere <nomecomputer> (computer locale), quindi Siti Web.

3. Fare clic con il pulsante destro del mouse su Amministrazione centrale SharePoint, quindi scegliere Proprietà.

4. Nella finestra Proprietà - Amministrazione centrale SharePoint fare clic sulla scheda Sicurezza directory.

5. In Comunicazioni sicure fare clic su Certificato server.

   Verrà avviata la Gestione guidata certificati server Web. Scegliere Avanti.

6. Nella pagina Certificato server selezionare Assegna un certificato esistente, quindi scegliere Avanti.

7. Nella pagina Certificati disponibili selezionare il certificato il cui valore in Nome descrittivo corrisponde a Team Foundation Server. Potrebbe essere necessario scorrere l'elenco per visualizzare la colonna Nome descrittivo.

8. Scegliere Avanti.

9. Nella pagina Porta SSL accettare il valore predefinito o immettere un nuovo valore, quindi scegliere Avanti. La porta predefinita per le connessioni SSL è 443, ma occorre assegnare un valore di porta univoco per ognuno dei tre siti Web seguenti: Team Foundation Server, predefinito e Amministrazione centrale SharePoint.

   Nota importante:

   Utilizzare un numero di porta diverso da quello predefinito, in quanto l'utilizzo del numero predefinito può ridurre la sicurezza della distribuzione. Annotare il valore della porta SSL. I valori della porta SSL devono essere diversi per ogni certificato server che si installa. Se, ad esempio, si accetta il valore di porta predefinito 443 per il sito Web di Team Foundation, è necessario assegnare un valore di porta diverso per il sito Web predefinito e il sito Web Amministrazione centrale SharePoint.

   Nota:
   Annotare questo valore, in quanto sarà necessario per assegnare il certificato a Server report di SQL Server.

10. Controllare le informazioni nella pagina Riepilogo certificato, quindi scegliere Avanti.

11. Scegliere Fine.

Configurazione del filtro ISAPI

È necessario creare un file di inizializzazione ISAPI nella stessa directory del file AuthenticationFilter.dll incluso in Team Foundation SP1. È inoltre necessario aggiungere il filtro ISAPI al Registro di sistema.

Per configurare il filtro ISAPI

1. Nel server di livello applicazione Team Foundation fare clic sul pulsante Start, scegliere Programmi, Accessori quindi Blocco note.

2. In Blocco note creare il seguente file, dove ProxyAddress è l'indirizzo IP da cui il traffico di rete esterno verso Team Foundation sembrerà avere origine, in genere un router, e per cui si desidera utilizzare HTTPS/SSL e l'autenticazione di base o digest, mentre SubnetMask è la coppia o le coppie indirizzo IP/subnet mask per cui non si desidera applicare l'autenticazione di base o digest.

   Nota importante:
   Se si aggiunge la chiave ProxyIPList al file, la chiave SubnetList e i relativi valori verranno ignorati. Per ulteriori informazioni, vedere Team Foundation Server, autenticazione di base e autenticazione del digest.

   Nota:
   È possibile impostare più di un valore per ProxyAddress o SubnetMask. Separare i valori di ProxyAddress o SubnetMask tramite un punto e virgola.

   [config]

   RequireSecurePort=false

   ProxyIPList=ProxyAddress;

   SubnetList =SubnetMask;

3. Salvare il file come AuthenticationFilter.ini nella stessa directory contenente il file AuthenticationFilter.dll, ovvero drive:\Programmi\Microsoft Visual Studio 2008 Team Foundation Server\Tools.

   Nota importante:
   Non modificare la directory del file AuthenticationFilter.ini o del file AuthenticationFilter.dll Altrimenti, è più probabile che si verifichino problemi durante l’aggiornamento da Team Foundation SP1 a Team Foundation SP1.

4. Aprire una finestra del prompt dei comandi. Per aprire il prompt dei comandi, fare clic sul pulsante Start, scegliere Esegui, digitare cmd, quindi scegliere OK.

   Nota:

   Anche se si è connessi con credenziali amministrative, è necessario aprire una finestra del prompt dei comandi con privilegi elevati per eseguire questa funzione in un server che esegue Windows Server 2008. Per aprire una finestra del prompt dei comandi con privilegi elevati, fare clic su Start, fare clic con il pulsante destro del mouse su Prompt dei comandi e quindi scegliere Esegui come amministratore. Per ulteriori informazioni, vedere il sito Web Microsoft (informazioni in lingua inglese).

5. Al prompt dei comandi digitare il comando seguente:

   reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v EventMessageFile /t REG_SZ /d %windir%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll /f

6. Al prompt dei comandi digitare il comando seguente:

   reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v TypesSupported /t REG_DWORD /d 7 /f

7. Nel server di livello applicazione Team Foundation scegliere Strumenti di amministrazione, dal menu Start, quindi Gestione Internet Information Services (IIS).

8. Espandere <nomecomputer> (computer locale), Siti Web, fare clic con il pulsante destro del mouse su Team Foundation Server, quindi scegliere Proprietà.

9. Nella finestra Proprietà - Sito Web predefinito fare clic sulla scheda Filtri ISAPI.

10. In Filtri ISAPI fare clic su Aggiungi.

11. In Aggiunta/Modifica proprietà filtro digitare TFAuthenticationFilter in Nome filtro e drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup\AuthenticationFilter.dll** in Eseguibile, quindi scegliere OK.

Configurazione del firewall per consentire il traffico SSL

È necessario configurare il firewall per consentire il traffico sulle porte SSL specificate in IIS per il sito Web predefinito, il sito Web di Team Foundation e il sito Web Amministrazione centrale SharePoint.

Nota:
Le procedure di configurazione del firewall per consentire il traffico SSL varieranno a seconda del software e dell'hardware firewall utilizzati nella distribuzione.

Per configurare un firewall in modo da consentire il traffico di rete sulle porte SSL utilizzate da Team Foundation Server

• Vedere la documentazione del firewall per determinare la procedura necessaria per consentire il traffico di rete sulle porte SSL specificate per il sito Web predefinito, il sito Web di Team Foundation e il sito Web Amministrazione centrale SharePoint.

Aggiornamento di progetti Team per Server report SQL tramite lo strumento della riga di comando TFSConfigWss

Attenersi ai seguenti passaggi per aggiornare i siti Web del progetto Team per Server report SQL affinché i report vengano visualizzati correttamente nei siti del portale del progetto Team.

Per aggiornare i siti del progetto Team per Server report SQL

1. Nel server di livello applicazione di Team Foundation, aprire una finestra del prompt dei comandi e passare alla directory Unità:\%Programmi%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.

2. Al prompt dei comandi digitare il comando seguente e sostituire queste stringhe:

   • SitoSharePoint è il nuovo URI (Uniform Resource Indicator) della raccolta siti di Prodotti e tecnologie SharePoint.

   • Report è il nuovo URI per SQL Server Reporting Services.

   • ReportServer è il nuovo URI per il servizio Web di ReportsService.asmx.

     **TfsConfigWss ConfigureReporting /SharepointSitesUri:SitoSharePoint/ReportsUri:Report/ReportServerUri:**ReportServer

Aggiornamento delle informazioni di configurazione di Team Foundation Server

Per aggiornare le informazioni di configurazione con i valori URL https per i siti Web di Windows SharePoint Services e Reporting Services, attenersi alla procedura riportata di seguito.

Per aggiornare le impostazioni di configurazione di Team Foundation Server

1. Sul server di livello applicazione Team Foundation aprire una finestra del prompt dei comandi e passare alle directory unità:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools.

2. Al prompt dei comandi digitare il comando seguente e sostituire queste stringhe:

   • URLserverdibase è il nuovo URI del server Web per il server di livello applicazione di Team Foundation.

   • URLsitodibase è il nuovo URI del sito Web predefinito per il server di livello applicazione.

   • SitoSharePoint è il nuovo URI per la raccolta siti di Prodotti e tecnologie SharePoint.

   • AmministrazioneSharePoint è il nuovo URI per il sito Web di Amministrazione centrale SharePoint.

   • Report è il nuovo URI per SQL Server Reporting Services.

   • ReportServer è il nuovo URI per il servizio Web di ReportsService.asmx.

     TfsAdminUtil ConfigureConnections /ATUri:URLserverdibase/SharepointUri:URLsitodibase**/SharepointSitesUri:SitoSharePoint/SharepointAdminUri:AmministrazioneSharePoint/ReportsUri:Report/ReportServerUri:**ReportServer

   Nota:
   Se si utilizza un'istanza denominata, è necessario specificarne il nome nei valori di Report e ServerReport. Non eliminare o modificare il nome dell'istanza denominata.

   Se ad esempio sono stati specificati 443 per il valore della porta SSL del sito Web di Team Foundation, 1443 per il valore della porta SSL del sito Web predefinito in IIS e 2443 per il valore della porta di Amministrazione centrale SharePoint e il server di livello applicazione è denominato Contoso1, i valori vengono modificati nel modo seguente:

   **TfsAdminUtil ConfigureConnections /ATUri:**https://Contoso1:443 **/SharepointUri:**https://Contoso1:1443 /SharepointSitesUri:https://Contoso1:1443/Sites/SharepointAdminUri:https://Contoso1:2443 /ReportsUri:https://Contoso1:1443/Reports/ReportServerUri:https://Contoso1:1443/ReportServer

   Nota:
   Il comando ConfigureConnections include alcune opzioni aggiuntive, ad esempio per l’aggiornamento dell’indirizzo Web pubblico utilizzato negli avvisi di posta elettronica. Per ulteriori informazioni, vedere Comando ConfigureConnections.

Installazione del certificato nei computer di compilazione

Se sono stati installati servizi di compilazione in uno o più server, è necessario installare il certificato in ciascuno dei server.

Nota:
Per eseguire compilazioni su SSL, è necessario che il certificato venga installato nell'archivio principale attendibile sia nel computer di compilazione per l'account con il quale viene eseguito il servizio di compilazione sia in quello che inizializza la compilazione.

Per installare il certificato nei computer di compilazione

1. Accedere al computer di compilazione utilizzando un account che sia membro del gruppo Administrators sul computer specificato.

2. Aprire il browser e accedere al seguente sito Web, dove ServerCertificato è il nome del server del certificato e porta è il numero della porta SSL assegnato all'Autorità di certificazione:

   https://ServerCertificato:porta/services/v1.0/serverstatus.asmx

3. Verrà visualizzata una finestra di dialogo contenente un messaggio relativo alla sicurezza. In Avviso di sicurezza fare clic su Visualizza certificato.

4. Nella finestra di dialogo Certificato fare clic sulla scheda Percorso certificazione.

5. In Percorso certificazione fare clic sull'Autorità di certificazione. Si tratta in genere del nodo principale della gerarchia di certificazione. Accanto al nome viene in genere visualizzata una X rossa, a indicare che l'Autorità di certificazione non è attendibile perché non è inclusa nell'archivio Autorità di certificazione principale attendibili. Fare clic su Visualizza certificato.

6. Nella finestra di dialogo Certificato fare clic su Installa certificato.

   Verrà visualizzata l'Importazione guidata certificati. Scegliere Avanti.

7. Nella pagina Archivio certificati selezionare Mettere tutti i certificati nel seguente archivio, quindi scegliere Sfoglia.

8. In Selezione archivio certificati selezionare Mostra archivi fisici. In Selezionare l'archivio certificati da utilizzare espandere Autorità di certificazione principale attendibili, selezionare Computer locale, quindi scegliere OK.

9. Scegliere Avanti nella pagina Archivio certificati.

10. Scegliere Fine nella pagina Completamento dell'Importazione guidata certificati.

11. È possibile che venga visualizzata la finestra di dialogo Importazione guidata certificati per confermare la corretta esecuzione dell'importazione. In tal caso, scegliere OK.

12. Scegliere OK nella finestra di dialogo Certificato. La finestra di dialogo Certificato per la gerarchia di certificazione del nodo principale verrà chiusa.

13. Scegliere OK nella finestra di dialogo Certificato. La finestra di dialogo Certificato relativa al certificato pertinente verrà chiusa.

14. In Avviso di sicurezza scegliere No.

15. Aprire il browser e accedere al seguente sito Web, dove ServerCertificato è il nome del server del certificato e porta è il numero della porta SSL assegnato all'Autorità di certificazione:

    https://ServerCertificato:porta/services/v1.0/serverstatus.asmx

16. Verrà visualizzata la pagina Servizio Web ServerStatus. Nella pagina viene confermata l'installazione del certificato e dell'Autorità di certificazione. Chiudere il browser.

Configurazione di un agente di compilazione per le connessioni SSL

Per configurare un agente di compilazione per le connessioni SSL, è necessario configurare un certificato HTTPS per ogni combinazione di indirizzo IP e porta. Se tutti gli agenti di compilazione condividono la stessa porta sul computer di compilazione, è necessario configurare un solo certificato. Se si eseguono più agenti di compilazione su più porte, è necessario configurare un certificato per ogni porta.

Per configurare un agente di compilazione in modo che richieda SSL, effettuare le attività riportate di seguito in sequenza:

1. Creare e configurare l'agente di compilazione in modo che richieda HTTPS.

2. Arrestare il servizio Team Foundation Build di Visual Studio.

3. Modificare la configurazione del servizio di compilazione per richiedere HTTPS.

4. Associare un certificato all'indirizzo IP e alla porta.

5. Configurare la porta e il protocollo per l'agente di compilazione.

6. Riavviare il servizio Team Foundation Build di Visual Studio.

7. Verificare la configurazione SSL.

Per configurare l'agente di compilazione per richiedere HTTPS

1. Aprire la finestra di dialogo Gestisci agenti di compilazione, quindi selezionare la casella di controllo Richiedi canale sicuro (HTTPS).

   Per ulteriori informazioni, vedere la classe Procedura: creare e gestire agenti di compilazione.

2. Fare clic su Edit.

   Verrà visualizzata la finestra di dialogo Proprietà dell’agente di compilazione.

3. Nell'elenco Stato agente fare clic su Disattivato.

Per arrestare il servizio Visual Studio Team Foundation Build

1. Accedere al computer di compilazione utilizzando un account che sia membro del gruppo Administrators sul computer specificato.

2. Sul computer di compilazione, fare clic su Avvia, quindi su Pannello di controllo, Strumenti di amministrazione e scegliere Servizi.

3. Nel riquadro Servizi (locale) fare clic col pulsante destro del mouse su Visual Studio Team Foundation Build, quindi scegliere Proprietà.

   Verrà visualizzata la finestra di dialogo Proprietà di compilazione di Visual Studio Team Foundation (computer locale).

4. In Stato del servizio fare clic su Arresta.

Per modificare la configurazione del servizio di compilazione per richiedere HTTPS

1. Accedere al computer di compilazione utilizzando un account che sia membro del gruppo Administrators sul computer specificato.

2. Aprire unità:\Program Files\Microsoft Visual Studio 2008\Common7\IDE\PrivateAssemblies, fare clic con il pulsante destro del mouse su TfsBuildservice.config.exe, quindi scegliere Apri.

   Il file verrà aperto nell'editor XML di Visual Studio.

3. Nella sezione <appSettings>, modificare il valore della chiave RequireSecureChannel impostandolo su "true". Impostare ad esempio la definizione della chiave sulla stringa seguente:

   <add key="RequireSecureChannel" value="true" />
   

4. Salvare le modifiche e chiudere il file.

Per associare un certificato SSL a un indirizzo IP e un numero di porta

1. Accedere al computer di compilazione utilizzando un account che sia membro del gruppo Administrators sul computer specificato.

2. Utilizzare lo snap-in certificati per individuare un certificato X.509 designato per l'autenticazione client.

   Per ulteriori informazioni, vedere "Procedura: recuperare l’identificazione digitale di un certificato" all’indirizzo (https://go.microsoft.com/fwlink/?LinkId=93828).

3. Copiare l'identificazione digitale del certificato in un editor di testo, ad esempio il Blocco note.

4. Rimuovere tutti gli spazi tra i caratteri esadecimali.

   È possibile eseguire questa attività utilizzando la funzione Trova e sostituisci dell'editor di testo per sostituire ogni spazio con un carattere null.

5. Sul computer di compilazione, fare clic su Start, Tutti i programmi, Windows Support Tools e quindi fare clic su Prompt dei comandi.

6. Eseguire lo strumento HttpCfg.exe in modalità "impostazione" sull'archivio SSL per associare il certificato a un numero di porta. Lo strumento utilizza l'identificazione digitale per identificare il certificato, come illustrato nell'esempio seguente:

   httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces
   

   Il parametro /i presenta la sintassi IndirizzoIP:Porta e indica allo strumento di impostare il certificato sulla porta 9191 del computer di compilazione. L'indirizzo IP 0.0.0.0 riserva tutti gli indirizzi del computer per semplicità. Per un'ulteriore precisione specificare l'esatto indirizzo IP su cui viene pubblicato il servizio dell'agente. Il parametro /h specifica l'identificazione digitale del certificato.

   Se è necessario negoziare il certificato client, aggiungere il parametro /f 2 come illustrato nell'esempio seguente:

   httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces /f 2
   

   Per ulteriori informazioni sulla sintassi del comando HttpCfg.exe, vedere "How To: Configure a Port with An SSL Certificate" all’indirizzo https://go.microsoft.com/fwlink/?LinkId=93829 (informazioni in lingua inglese).

Per configurare la porta e il protocollo dell'agente di compilazione

1. Al prompt dei comandi eseguire wcfhttpconfigfreeNumeroPorta. L'istruzione del comando deve assomigliare alla stringa seguente:

   wcfhttpconfig free OldPortForHttp
   

   Per ulteriori informazioni, vedere wcfhttpconfig (Team Foundation Build).

2. Al prompt dei comandi eseguire wcfhttpconfigreserveAccountUtenteURL. L'istruzione del comando deve assomigliare alla stringa seguente:

   wcfhttpconfig reserve Domain\Account https://+Computer:NewPortForHttps/Build/v2.0/AgentService.asmx
   

3. Aggiungere la porta all'elenco delle eccezioni di Windows Firewall

Per riavviare il servizio Visual Studio Team Foundation Build

1. Accedere al computer di compilazione utilizzando un account che sia membro del gruppo Administrators sul computer specificato.

2. Sul computer di compilazione, fare clic su Avvia, quindi su Pannello di controllo, Strumenti di amministrazione e scegliere Servizi.

3. Nel riquadro Servizi (locale) fare clic col pulsante destro del mouse su Visual Studio Team Foundation Build, quindi scegliere Proprietà.

   Verrà visualizzata la finestra di dialogo Proprietà di compilazione di Visual Studio Team Foundation (computer locale).

4. In Stato servizio fare clic su Avvia.

Per verificare la configurazione SSL.

1. Aprire la finestra di dialogo Gestisci agenti di compilazione.

   Per ulteriori informazioni, vedere la classe Procedura: creare e gestire agenti di compilazione.

2. Fare clic su Edit.

   Verrà visualizzata la finestra di dialogo Proprietà dell’agente di compilazione.

3. Nell'elenco Stato agente fare clic su Attivato.

4. Verificare che la comunicazione sia attiva eseguendo una compilazione tramite il relativo agente.

   Per ulteriori informazioni, vedere Procedura: accodare o avviare una definizione di compilazione.

Installazione del certificato in computer Team Foundation Server Proxy

Se è stato installato Team Foundation Proxy in uno o più computer, è necessario installare il certificato in ciascuno dei computer.

Nota:
Oltre alla procedura descritta di seguito, è necessario configurare tutti i firewall affinché il computer proxy consenta il traffico sulle porte SLL specificate per Team Foundation Server. Le procedure di configurazione del firewall per consentire il traffico SSL variano a seconda del software e dell'hardware firewall utilizzati nella distribuzione.

Per installare il certificato nei computer Team Foundation Server Proxy

1. Accedere al server di Team Foundation Proxy utilizzando un account che sia membro del gruppo Administrators sul computer specificato.

2. Aprire il browser e accedere al seguente sito Web, dove ServerCertificato è il nome del server del certificato e porta è il numero della porta SSL assegnato all'Autorità di certificazione:

   https://ServerCertificato:porta/services/v1.0/serverstatus.asmx

3. Verrà visualizzata una finestra di dialogo contenente un messaggio relativo alla sicurezza. In Avviso di sicurezza fare clic su Visualizza certificato.

4. Nella finestra di dialogo Certificato fare clic sulla scheda Percorso certificazione.

5. In Percorso certificazione fare clic sull'Autorità di certificazione. Si tratta in genere del nodo principale della gerarchia di certificazione. Accanto al nome viene in genere visualizzata una X rossa, a indicare che l'Autorità di certificazione non è attendibile perché non è inclusa nell'archivio Autorità di certificazione principale attendibili. Fare clic su Visualizza certificato.

6. Nella finestra di dialogo Certificato fare clic su Installa certificato.

   Verrà visualizzata l'Importazione guidata certificati. Scegliere Avanti.

7. Nella pagina Archivio certificati selezionare Mettere tutti i certificati nel seguente archivio, quindi scegliere Sfoglia.

8. In Selezione archivio certificati selezionare Mostra archivi fisici. In Selezionare l'archivio certificati da utilizzare espandere Autorità di certificazione principale attendibili, selezionare Computer locale, quindi scegliere OK.

9. Scegliere Avanti nella pagina Archivio certificati.

10. Scegliere Fine nella pagina Completamento dell'Importazione guidata certificati.

11. È possibile che venga visualizzata la finestra di dialogo Importazione guidata certificati per confermare la corretta esecuzione dell'importazione. In tal caso, scegliere OK.

12. Scegliere OK nella finestra di dialogo Certificato. La finestra di dialogo Certificato per la gerarchia di certificazione del nodo principale verrà chiusa.

13. Scegliere OK nella finestra di dialogo Certificato. La finestra di dialogo Certificato relativa al certificato pertinente verrà chiusa.

14. In Avviso di sicurezza scegliere No.

15. Aprire il browser e accedere al seguente sito Web, dove ServerCertificato è il nome del server del certificato e porta è il numero della porta SSL assegnato all'Autorità di certificazione:

    https://ServerCertificato:porta/services/v1.0/serverstatus.asmx

16. Verrà visualizzata la pagina Servizio Web ServerStatus. Nella pagina viene confermata l'installazione del certificato e dell'Autorità di certificazione. Chiudere il browser.

Installazione del certificato nei computer client

In ogni computer client che accede a Team Foundation il certificato deve essere installato a livello locale. Se il computer client ha eseguito in precedenza l'accesso a un progetto Team di Team Foundation, è inoltre necessario cancellare la cache del client per ogni utente che utilizza il computer per connettersi a Team Foundation prima che questi si connetta.

Nota importante:
Non seguire questa procedura per i client di Team Foundation installati nel server che esegue Team Foundation Server.

Per installare il certificato nei computer client Team Foundation

1. Accedere al computer client Team Foundation utilizzando un account che sia membro del gruppo Administrators sul computer specificato.

2. Aprire il browser e accedere al seguente sito Web, dove ServerCertificato è il nome del server del certificato e porta è il numero della porta SSL assegnato all'Autorità di certificazione:

   https://ServerCertificato:porta/services/v1.0/serverstatus.asmx

3. Verrà visualizzata una finestra di dialogo contenente un messaggio relativo alla sicurezza. In Avviso di sicurezza fare clic su Visualizza certificato.

4. Nella finestra di dialogo Certificato fare clic sulla scheda Percorso certificazione.

5. In Percorso certificazione fare clic sull'Autorità di certificazione. Si tratta in genere del nodo principale della gerarchia di certificazione. Accanto al nome viene in genere visualizzata una X rossa, a indicare che l'Autorità di certificazione non è attendibile perché non è inclusa nell'archivio Autorità di certificazione principale attendibili. Fare clic su Visualizza certificato.

6. Nella finestra di dialogo Certificato fare clic su Installa certificato.

   Verrà visualizzata l'Importazione guidata certificati. Scegliere Avanti.

7. Nella pagina Archivio certificati selezionare Mettere tutti i certificati nel seguente archivio, quindi scegliere Sfoglia.

8. In Selezione archivio certificati selezionare Mostra archivi fisici. In Selezionare l'archivio certificati da utilizzare espandere Autorità di certificazione principale attendibili, selezionare Computer locale, quindi scegliere OK.

9. Scegliere Avanti nella pagina Archivio certificati.

10. Scegliere Fine nella pagina Completamento dell'Importazione guidata certificati.

11. È possibile che venga visualizzata la finestra di dialogo Importazione guidata certificati per confermare la corretta esecuzione dell'importazione. In tal caso, scegliere OK.

12. Scegliere OK nella finestra di dialogo Certificato. La finestra di dialogo Certificato per la gerarchia di certificazione del nodo principale verrà chiusa.

13. Scegliere OK nella finestra di dialogo Certificato. La finestra di dialogo Certificato relativa al certificato pertinente verrà chiusa.

14. In Avviso di sicurezza scegliere No.

15. Aprire il browser e accedere al seguente sito Web, dove ServerCertificato è il nome del server del certificato e porta è il numero della porta SSL assegnato all'Autorità di certificazione:

    https://ServerCertificato:porta/services/v1.0/serverstatus.asmx

16. Verrà visualizzata la pagina Servizio Web ServerStatus. Nella pagina viene confermata l'installazione del certificato e dell'Autorità di certificazione. Chiudere il browser.

Per cancellare la cache nei computer client Team Foundation

1. Accedere al computer client Team Foundation utilizzando le credenziali dell'utente che si desidera aggiornare.

2. Nel computer client Team Foundation chiudere tutte le istanze aperte di Visual Studio.

3. Aprire il browser e accedere alla seguente cartella:

   unità**:\Documents and Settings\nomeutente\Local Settings\Application Data\Microsoft\Team Foundation\2.0\Cache**

4. Eliminare il contenuto della directory della cache. Assicurarsi di eliminare tutte le sottocartelle.

5. Fare clic sul pulsante Start, scegliere Esegui, digitare devenv /resetuserdata, quindi scegliere OK.

6. Ripetere questi passaggi per ogni account utente nel computer che accede a Team Foundation.

   Nota:
   È possibile distribuire istruzioni sulla cancellazione della cache a tutti gli utenti di Team Foundation affinché possano cancellare personalmente la cache.

Vedere anche

Concetti

Team Foundation Server, HTTPS e Secure Sockets Layer (SSL)

Altre risorse

Procedure dettagliate relative all'amministrazione di Team Foundation

Sicurezza di Team Foundation Server tramite HTTPS e Secure Sockets Layer (SSL)