次の方法で共有

チュートリアル : HTTPS と SSL (Secure Socket Layer) の使用を必須とする Team Foundation Server のセットアップ

  • [アーティクル]

更新 : 2007 年 11 月

このチュートリアルでは、Visual Studio Team System 2008 Team Foundation Server に接続する Team Foundation クライアントで HTTPS 接続と SSL (Secure Sockets Layer) 接続の使用を必須にする方法について説明します。Team Foundation Server 配置への外部接続をサポートするには、基本認証とダイジェスト認証のいずれか、または両方に対応するように、インターネット インフォメーション サービス (IIS: Internet Information Services) を構成する必要があります。また、ISAPI (Internet Server Application Programming Interface) フィルタを構成する必要もあります。

このチュートリアルでは、次の作業を行います。

  1. Team Foundation Server Web サイトの証明書要求を作成する。

  2. 証明書要求を発行し、バイナリ証明書ファイルを作成する。

  3. 証明書をインストールして割り当てる。

  4. Team Foundation Server を構成して HTTPS と SSL の使用を必須とする。

  5. クライアント コンピュータに証明書をインストールする。

  6. 証明書をテストする。

前提条件

このチュートリアルを実行するための前提条件は次のとおりです。

  • Team Foundation データ層と Team Foundation Server のアプリケーション層を構成する論理コンポーネントがインストールされ、動作している必要があります。このチュートリアルでは、Team Foundation アプリケーション層を構成する論理コンポーネントを実行する 1 つ以上のサーバーのことを、Team Foundation アプリケーション層サーバーと呼んでいます。また、Team Foundation データ層を構成する論理コンポーネントを実行する 1 つ以上のサーバーのことを、Team Foundation データ層サーバーと呼んでいます。配置構成によっては、Team Foundation アプリケーション層サーバーと Team Foundation データ層サーバーは、同一の物理サーバーである場合や複数の異なる物理サーバーである場合があります。詳細については、『Team Foundation インストール ガイド』を参照してください。『Team Foundation インストール ガイド』の最新版は、Microsoft ダウンロード センター (https://go.microsoft.com/fwlink/?linkid=79226) からダウンロードできます。

  • 証明書を発行するために証明機関 (CA: Certificate Authority) を使用できる必要があります。このチュートリアルでは、Microsoft 証明書サービスを CA として使用することを前提としています。独自の証明機関がない場合は、Microsoft 証明書サービスをインストールし、証明機関を構成できます。詳細については、Microsoft の Web サイト (https://go.microsoft.com/fwlink/?LinkId=70929) を参照してください。

  • SSL 接続用のビルド エージェントを構成するには、次のことが必要です。

    • Team Foundation ビルドとチーム エクスプローラがインストールされ、動作していること。

    • ビルド エージェントに対して証明書が発行されていること。

    • Windows Support Tools がビルド コンピュータにインストールされていること。これらのツールは、証明書を IP アドレスおよびポートに関連付けるために必要です。詳細については、「Windows Support Tools」(https://go.microsoft.com/fwlink/?LinkId=93827) を参照してください。

必要なアクセス許可

この手順を実行するには、Team Foundation アプリケーション層サーバーおよびデータ層サーバーの Administrators グループのメンバであり、Team Foundation Administrators グループのメンバである必要があります。SSL 接続用のビルド エージェントを構成するには、ビルド コンピュータの Administrators グループのメンバである必要があります。アクセス許可の詳細については、「Team Foundation Server のアクセス許可」を参照してください。

前提

このチュートリアルの前提条件は次のとおりです。

  • Team Foundation データ層サーバーと Team Foundation アプリケーション層サーバーがセキュリティで保護された環境でインストールおよび配置され、セキュリティ ベスト プラクティスに従って構成されていること。

  • SSL を使用して Team Foundation Server を構成する管理者が、公開キー基盤 (PKI: public key infrastructure) および証明書 (証明書の要求、発行、および割り当ての方法など) に関する詳しい知識を持つこと。PKI と証明書の詳細については、Microsoft の Web サイト (https://go.microsoft.com/fwlink/?LinkId=70930) を参照してください。

  • 管理者が、インターネット インフォメーション サービス (IIS)、Microsoft SQL Server、およびネットワーク設定の構成に詳しく、配置環境のネットワーク トポロジに関する実務知識を持つ。

Microsoft 証明書サービスのインストール

このチュートリアルでは、証明書を発行するために Microsoft 証明書サービスを証明機関 (CA) として使用します。ここでは、便宜上、証明書サービスが Team Foundation アプリケーション層サーバーにインストールされていますが、ビジネス ニーズに合わせて独自の証明機関ソフトウェアおよび配置構成を選択することもできます。証明書サービスを実際の環境に配置するときは、ルート証明機関を隔離してセキュリティを強化することを検討してください。セキュリティ管理者のみが立ち入れる施設に証明機関サーバーを物理的に隔離すると、侵害されるリスクが著しく減ります。証明書サービスの機能およびベスト プラクティスの詳細については、Microsoft の Web サイト (https://go.microsoft.com/fwlink/?LinkId=70929) を参照してください。

Aa833873.alert_caution(ja-jp,VS.90).gif注意 :

いったん証明書サービスをインストールすると、コンピュータの名前やコンピュータが参加しているドメインを変更できません。コンピュータ名やドメインを変更すると、証明機関 (CA) から発行された証明書は無効になります。

証明書サービスをインストールするには

  1. [スタート] ボタンをクリックし、[コントロール パネル] をクリックします。次に、[プログラムの追加と削除] をクリックします。

  2. [Windows コンポーネントの追加と削除] をクリックします。

  3. Windows コンポーネント ウィザードで、[コンポーネント] 一覧の [証明書サービス] をクリックします。

  4. メッセージ ボックス内のテキストを確認し、[はい] をクリックします。

  5. [次へ] をクリックしてインストールを開始します。

  6. [CA の種類] ページで、[スタンドアロンのルート CA] をクリックし、[次へ] をクリックします。

  7. [CA 識別情報] ページで、[CA 識別情報] にコンピュータの名前を入力します。

  8. [有効期間] で、証明書の有効期限を 6 か月に変更して [次へ] をクリックします。

  9. [証明書データベースの設定] ページで、設定を変更せずに [次へ] をクリックします。

    IIS を停止する必要があることを示すメッセージ ボックスが表示されます。

  10. メッセージ ボックスの [はい] をクリックします。

    [コンポーネントの構成] ページが表示されます。

  11. Active Server Pages (ASP) に関する情報がメッセージ ボックスに表示された場合は、[はい] をクリックします。

  12. [完了] をクリックします。

Team Foundation Server Web サイトの証明書要求の作成

アプリケーション層コンピュータでは、インターネット インフォメーション サービス (IIS) マネージャを使用して Team Foundation Server の証明書要求を作成する必要があります。

Team Foundation Server Web サイトの証明書要求を作成するには

  1. [スタート] ボタンをクリックし、[管理ツール] をポイントし、[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

  2. [computername(ローカル コンピュータ)] を展開し、[Web サイト] を展開します。

  3. [Team Foundation Server] を右クリックし、[プロパティ] をクリックします。

  4. [Team Foundation Server のプロパティ] の [ディレクトリ セキュリティ] タブをクリックします。

  5. [セキュリティで保護された通信] で、[サーバー証明書] をクリックします。

    Web サーバー証明書ウィザードが表示されます。[次へ] をクリックします。

  6. [サーバー証明書] ページで、[証明書の新規作成] をクリックし、[次へ] をクリックします。

  7. [証明書の要求の送信方法] ページで、[次へ] をクリックします。

  8. [名前とセキュリティの設定] ページで、設定を変更せずに [次へ] をクリックします。

  9. [組織に関する情報] ページで、[組織] と [組織単位] の値を指定します。たとえば、会社の名前を [組織] に、チームまたはグループの名前を [組織単位] に入力します。[次へ] をクリックします。

  10. [サイトの一般名] ページで、設定を変更せずに [次へ] をクリックします。

  11. [地理情報] ページで、[国または地域]、[都道府県]、および [都道府県] の各ボックスに適切な情報を指定し、[次へ] をクリックします。

  12. [証明書要求ファイル名] ページの [ファイル名] で、証明書要求ファイルの保存場所とファイル名を指定し、[次へ] をクリックします。

    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    証明書要求ファイルは、ネットワーク共有、または CA コンピュータからアクセスできるその他の場所に必ず保存してください。

  13. [要求ファイルの概要] ページに表示された情報を確認し、[次へ] をクリックします。

  14. [完了] をクリックします。

  15. [OK] をクリックして [Team Foundation Server のプロパティ] ダイアログ ボックスを閉じます。

証明書要求の発行とバイナリ証明書ファイルの作成

証明書要求を作成したら、CA (ここでは Microsoft 証明書サービス) により、要求に基づく証明書を発行します。作成された証明書は、IIS を使用して適切な Web サイトに割り当てることができます。

Microsoft 証明書サービスを使用して証明書要求を発行するには

  1. [スタート] ボタンをクリックし、[管理ツール] をポイントします。次に、[証明機関] をクリックします。

  2. エクスプローラ ペインでコンピュータ名を右クリックして [すべてのタスク] をポイントし、[新しい要求の送信] をクリックします。

  3. [要求ファイルを開く] ダイアログ ボックスで、前の手順で作成した証明書要求テキスト ファイルを選択し、[開く] をクリックします。

  4. エクスプローラ ペインでコンピュータ名を展開し、[保留中の要求] をクリックします。

  5. 保留中の要求の [要求 ID] の値をメモします。

  6. 要求を右クリックして [すべてのタスク] をポイントし、[発行] をクリックします。

  7. エクスプローラ ウィンドウで、コンピュータ名の下にある [発行した証明書] をクリックして証明書の一覧を表示し、要求の [要求 ID] の値と一致する証明書が発行されたことを確認します。

  8. [発行した証明書] で、発行された証明書を右クリックして [すべてのタスク] をポイントし、[バイナリ データのエクスポート] をクリックします。

  9. [バイナリ データを含む列] で、[バイナリ証明書] をクリックします。[エクスポート オプション] で、[バイナリ データをファイルに保存する] をクリックし、[OK] をクリックします。

  10. [バイナリ データの保存] で、Team Foundation アプリケーション層コンピュータからアクセスできるポータブル メディア デバイスまたはネットワーク共有にファイルを保存します。

  11. [証明機関] ウィンドウを閉じます。

証明書のインストールと割り当て

Team Foundation Server で SSL を使用するには、Team Foundation Server Web サイトにサーバー証明書をインストールし、Team Foundation Server に関連する Web サイトで HTTPS を構成しておく必要があります。関連する Web サイトには、次のものが含まれます。

  • 既定の Web サイト

  • SharePoint サーバー管理

  • レポート サーバー

サーバー証明書のインストール

サーバー証明書を Team Foundation Server にインストールするには、次の手順を実行します。

サーバー証明書を Team Foundation Server Web サイトにインストールするには

  1. Team Foundation アプリケーション層サーバーで、[スタート] ボタンをクリックし、[管理ツール] をポイントします。次に、[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

  2. [<computername> (ローカル コンピュータ)] を展開し、[Web サイト] を展開します。

  3. [Team Foundation Server] を右クリックし、[プロパティ] をクリックします。

  4. [Team Foundation Server のプロパティ] の [ディレクトリ セキュリティ] タブをクリックします。

  5. [セキュリティで保護された通信] で、[サーバー証明書] をクリックします。

    Web サーバー証明書ウィザードが表示されます。[次へ] をクリックします。

  6. [保留中の証明書の要求] ページで、[保留中の要求を処理し、証明書をインストールする] をクリックし、[次へ] をクリックします。

  7. [保留中の要求を処理] ページの [参照] をクリックします。

  8. [開く] ダイアログ ボックスで、[ファイルの種類] ボックスの一覧の [すべてのファイル (*.*)] をクリックし、前の手順でバイナリ証明書を保存したディレクトリを見つけます。バイナリ証明書ファイルを選択し、[開く] をクリックします。

  9. [保留中の要求を処理] ページの [次へ] をクリックします。

  10. [SSL ポート] ページで、既定値をそのまま使用するか、新しい値を入力して [次へ] をクリックします。SSL 接続の既定のポートは 443 ですが、Team Foundation Server Web サイト、既定の Web サイト、および SharePoint サーバー管理 Web サイトという 3 つのサイトそれぞれに、一意のポート値を割り当てる必要があります。

    Aa833873.alert_caution(ja-jp,VS.90).gif重要 :

    既定のポート番号をそのまま使うと配置のセキュリティが低下する可能性があるので、別のポート番号を使うことを検討してください。割り当てた SSL ポート値を書き留めておきます。既定値を受け入れる前に、ポートが別のサーバー証明書で使用されていないことを確認します。SSL ポート値は、インストールしたサーバー証明書ごとに異なる必要があります。たとえば、既定のポート 443 が使用されていないときに既定のポート値 443 を Team Foundation Server Web サイトに使用する場合は、別のポート値を既定の Web サイトと SharePoint サーバー管理 Web サイトに割り当てる必要があります。

  11. [証明書の概要] ページの情報を確認し、[次へ] をクリックします。

  12. [完了] をクリックします。

  13. [ディレクトリ セキュリティ] タブで、[認証とアクセス制御] の [編集] をクリックします。

  14. [認証方法] の [匿名アクセスを有効にする] チェック ボックスをオフにします。配置に基づいて、[認証済みアクセス] の [統合 Windows 認証] をオンにし、[基本認証] と [Windows ドメイン サーバーでダイジェスト認証を使用する] のいずれかまたは両方をオンにします。その他のチェック ボックスをオフにし、[OK] をクリックします。

    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    [Windows ドメイン サーバーでダイジェスト認証を使用する] をオンにした後で、この選択を確認するメッセージが表示されることがあります。テキストを読み、[はい] をクリックします。

  15. [OK] をクリックして [Team Foundation Server のプロパティ] ダイアログ ボックスを閉じます。

    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    [OK] をクリックした後で [継承/優先] ダイアログ ボックスが表示された場合は、[すべて選択] をクリックし、[OK] をクリックします。

既定の Web サイトへの証明書の割り当て

既定の Web サイトの IIS で HTTPS をセットアップするには、次の操作を行います。

Aa833873.alert_note(ja-jp,VS.90).gifメモ :

証明階層や公開キー基盤に応じて、クライアント証明書認証用に IIS を構成する必要がある場合もあります。詳細については、Microsoft Web サイトの「Certificates (IIS 6.0)」、「Certificate Services」、および「Certificates」を参照してください。

既定の Web サイトで HTTPS をセットアップし、SSL を必須とするには

  1. Team Foundation アプリケーション層サーバーで、[スタート] ボタンをクリックし、[管理ツール] をポイントします。次に、[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

  2. [<computername> (ローカル コンピュータ)] を展開し、[Web サイト] を展開します。

  3. [既定の Web サイト] を右クリックし、[プロパティ] をクリックします。

  4. [既定の Web サイトのプロパティ] の [ディレクトリ セキュリティ] タブをクリックします。

  5. [セキュリティで保護された通信] で、[サーバー証明書] をクリックします。

    Web サーバー証明書ウィザードが表示されます。[次へ] をクリックします。

  6. [サーバー証明書] ページで、[既存の証明書を使用] をクリックし、[次へ] をクリックします。

  7. [使用可能な証明書] ページで、[表示名] の値が [Team Foundation Server] となっている証明書をクリックします。一覧の [表示名] 列を表示するために、スクロールしなければならない場合もあります。[次へ] をクリックします。

  8. [SSL ポート] ページで、既定値をそのまま使用するか、新しい値を入力して [次へ] をクリックします。SSL 接続の既定のポートは 443 ですが、Team Foundation Server Web サイト、既定の Web サイト、および SharePoint サーバー管理 Web サイトという 3 つのサイトそれぞれに、一意のポート値を割り当てる必要があります。

    Aa833873.alert_caution(ja-jp,VS.90).gif重要 :

    既定のポート番号をそのまま使うと配置のセキュリティが低下する可能性があるので、別のポート番号を使うことを検討してください。この SSL ポート値を書き留めておきます。SSL ポート値は、インストールしたサーバー証明書ごとに異なる必要があります。たとえば、既定のポート値 443 を Team Foundation Server Web サイトに使用する場合は、別のポート値を既定の Web サイトと SharePoint サーバー管理 Web サイトに割り当てる必要があります。

  9. [証明書の概要] ページの情報を確認し、[次へ] をクリックします。

  10. [完了] をクリックします。ウィザードが終了します。

  11. [ディレクトリ セキュリティ] タブで、[セキュリティで保護された通信] の [編集] をクリックします。

  12. [セキュリティで保護された通信] で、[セキュリティで保護されたチャネル (SSL) を要求する] チェック ボックスをオンにします。[クライアント証明書を無視する] がオンになっていることを確認し、[OK] をクリックします。

  13. [ディレクトリ セキュリティ] タブで、[認証とアクセス制御] の [編集] をクリックします。

  14. [認証方法] の [匿名アクセスを有効にする] チェック ボックスをオフにします。配置に基づいて、[認証済みアクセス] の [統合 Windows 認証] をオンにし、[Windows ドメイン サーバーでダイジェスト認証を使用する] と [基本認証] のいずれかまたは両方をオンにします。その他のチェック ボックスをオフにし、[OK] をクリックします。認証方法と Team Foundation Server の詳細については、「Team Foundation Server の基本認証およびダイジェスト認証」を参照してください。

    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    [Windows ドメイン サーバーでダイジェスト認証を使用する] をオンにした後で、この選択を確認するメッセージが表示されることがあります。テキストを読み、[はい] をクリックします。
    Aa833873.alert_caution(ja-jp,VS.90).gif重要 :

    ダイジェスト認証は、正しく構成する必要があります。そうしないと、Team Foundation Server へのアクセスが失敗します。ダイジェスト認証のすべての要件を満たしていない場合は、ダイジェスト認証を選択しないでください。ダイジェスト認証の詳細については、Microsoft の Web サイト (https://go.microsoft.com/fwlink/?LinkId=89709) を参照してください。

  15. [OK] をクリックして [既定の Web サイトのプロパティ] ダイアログ ボックスを閉じます。

    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    [OK] をクリックした後で [継承/優先] ダイアログ ボックスが表示された場合は、[すべて選択] をクリックし、[OK] をクリックします。

Team Foundation Server Web サイトを構成して SSL を必須とするには

  1. Team Foundation アプリケーション層サーバーで、[スタート] ボタンをクリックし、[管理ツール] をポイントします。次に、[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

  2. [<computername> (ローカル コンピュータ)] を展開し、[Web サイト] を展開します。

  3. [Team Foundation Server] を右クリックし、[プロパティ] をクリックします。

  4. [Team Foundation Server のプロパティ] の [ディレクトリ セキュリティ] タブをクリックします。

  5. [ディレクトリ セキュリティ] タブで、[セキュリティで保護された通信] の [編集] をクリックします。

  6. [セキュリティで保護された通信] で、[セキュリティで保護されたチャネル (SSL) を要求する] チェック ボックスをオンにします。[クライアント証明書を無視する] が選択されていることを確認し、[OK] をクリックします。

  7. [OK] をクリックして [Team Foundation Server のプロパティ] ダイアログ ボックスを閉じます。

    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    [OK] をクリックした後で [継承/優先] ダイアログ ボックスが表示された場合は、[すべて選択] をクリックし、[OK] をクリックします。

SharePoint サーバー管理への証明書の割り当て

SharePoint サーバー管理に HTTPS をセットアップするには、次の操作を行います。

SharePoint サーバー管理に HTTPS をセットアップし、SSL を必須とするには

  1. Team Foundation アプリケーション層サーバーで、[スタート] ボタンをクリックし、[管理ツール] をポイントします。次に、[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

  2. [<computername> (ローカル コンピュータ)] を展開し、[Web サイト] を展開します。

  3. [SharePoint サーバー管理] を右クリックし、[プロパティ] をクリックします。

  4. [SharePoint のサーバー管理のプロパティ] の [ディレクトリ セキュリティ] タブをクリックします。

  5. [セキュリティで保護された通信] で、[サーバー証明書] をクリックします。

    Web サーバー証明書ウィザードが表示されます。[次へ] をクリックします。

  6. [サーバー証明書] ページで、[既存の証明書を使用] をクリックし、[次へ] をクリックします。

  7. [使用可能な証明書] ページで、[表示名] の値が [Team Foundation Server] となっている証明書をクリックします。一覧の [表示名] 列を表示するために、スクロールしなければならない場合もあります。

  8. [次へ] をクリックします。

  9. [SSL ポート] ページで、既定値をそのまま使用するか、新しい値を入力して [次へ] をクリックします。SSL 接続の既定のポートは 443 ですが、Team Foundation Server Web サイト、既定の Web サイト、および SharePoint サーバー管理 Web サイトという 3 つのサイトそれぞれに、一意のポート値を割り当てる必要があります。

    Aa833873.alert_caution(ja-jp,VS.90).gif重要 :

    既定のポート番号をそのまま使うと配置のセキュリティが低下する可能性があるので、別のポート番号を使うことを検討してください。この SSL ポート値を書き留めておきます。SSL ポート値は、インストールしたサーバー証明書ごとに異なる必要があります。たとえば、既定のポート値 443 を Team Foundation Server Web サイトに使用する場合は、別のポート値を既定の Web サイトと SharePoint サーバー管理 Web サイトに割り当てる必要があります。
    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    証明書を SQL Report Server に割り当てるために後で必要になる値なので、書き留めておいてください。

  10. [証明書の概要] ページの情報を確認し、[次へ] をクリックします。

  11. [完了] をクリックします。

  12. [ディレクトリ セキュリティ] タブで、[セキュリティで保護された通信] の [編集] をクリックします。

  13. [セキュリティで保護された通信] で、[セキュリティで保護されたチャネル (SSL) を要求する] チェック ボックスをオンにします。[クライアント証明書を無視する] がオンになっていることを確認し、[OK] をクリックします。

  14. [OK] をクリックして、[SharePoint のサーバー管理のプロパティ] ダイアログ ボックスを閉じます。

ISAPI フィルタの構成

Team Foundation Server SP1 に含まれる AuthenticationFilter.dll ファイルと同じディレクトリに ISAPI 初期化ファイルを作成する必要があります。また、ISAPI フィルタをレジストリに追加する必要もあります。

ISAPI フィルタを構成するには

  1. Team Foundation アプリケーション層サーバーで、[スタート] ボタンをクリックし、[プログラム] をポイントします。次に、[アクセサリ] をポイントし、[メモ帳] をクリックします。

  2. メモ帳で次のファイルを作成します。ProxyAddress は、HTTPS/SSL と基本認証やダイジェスト認証を必要とする、Team Foundation Server に対する外部ネットワーク トラフィックの発信元と見なされる場所 (通常はルーター) の IP アドレスです。SubnetMask は、ダイジェスト認証または基本認証を適用しない IP アドレスとサブネット マスクのペアです。

    Aa833873.alert_caution(ja-jp,VS.90).gif重要 :

    ProxyIPList キーをファイルに追加すると、SubnetList キーとその値は無視されます。詳細については、「Team Foundation Server の基本認証およびダイジェスト認証」を参照してください。
    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    ProxyAddress または SubnetMask には複数の値を設定できます。ProxyAddress または SubnetMask に複数の値を設定するには、値をセミコロンで区切ります。

    [config]

    RequireSecurePort=true

    ProxyIPList=ProxyAddress;

    SubnetList=SubnetMask;

  3. このファイルを AuthenticationFilter.ini という名前で AuthenticationFilter.dll と同じディレクトリに保存します。このディレクトリは drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup** です。

  4. コマンド プロンプト ウィンドウを開きます。コマンド プロンプトを開くには、[スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「cmd」と入力し、[OK] をクリックします。

    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    管理資格情報を使ってログオンした場合であっても、Windows Server 2008 を実行中のサーバーに対してこの機能を実行するには、昇格した特権でコマンド プロンプトを開く必要があります。昇格した特権のコマンド プロンプトを開くには、[スタート] をクリックし、[コマンド プロンプト] を右クリックして、[管理者として実行] をクリックします。詳細については、Microsoft Web サイトを参照してください。

  5. コマンド プロンプトに次のコマンドを入力します。

    reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v EventMessageFile /t REG_SZ /d %windir%\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll /f

  6. コマンド プロンプトに次のコマンドを入力します。

    reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Application\TFS ISAPI Filter" /v TypesSupported /t REG_DWORD /d 7 /f

  7. Team Foundation アプリケーション層サーバーで、[スタート] ボタンをクリックし、[管理ツール] をポイントします。次に、[インターネット インフォメーション サービス (IIS) マネージャ] をクリックします。

  8. [<computername> (ローカル コンピュータ)] を展開し、[Web サイト] を展開します。[Team Foundation Server] を右クリックし、[プロパティ] をクリックします。

  9. [既定の Web サイトのプロパティ] の [ISAPI フィルタ] タブをクリックします。

  10. [ISAPI フィルタ] で、[追加] をクリックします。

  11. [フィルタのプロパティの追加と編集] で、[フィルタ名] に「TFAuthenticationFilter」と入力し、[実行可能ファイル] に「drive**:\Program Files\Microsoft Visual Studio 2008 Team Foundation Server\TF Setup\AuthenticationFilter.dll**」と入力します。次に、[OK] をクリックします。

SSL トラフィックを有効にするためのファイアウォールの構成

既定の Web サイト、Team Foundation Server Web サイト、および SharePoint サーバー管理 Web サイト用に IIS で指定した SSL ポートへのトラフィックを許可するようにファイアウォールを構成する必要があります。

Aa833873.alert_note(ja-jp,VS.90).gifメモ :

SSL トラフィックを有効にするファイアウォール構成の手順は、使用しているファイアウォール ソフトウェアおよびハードウェアによって異なります。

ファイアウォールを構成して Team Foundation Server で使用される SSL ポートのネットワーク トラフィックを有効にするには

  • 既定の Web サイト、Team Foundation Server Web サイト、および SharePoint サーバー管理 Web サイト用に指定した SSL ポートへのトラフィックを許可するようにファイアウォールを構成する手順については、使用しているファイアウォール製品のドキュメントを参照してください。

TFSConfigWss コマンド ライン ツールを使用した SQL レポート サーバーのチーム プロジェクトの更新

SQL レポート サーバーのチーム プロジェクト Web サイトを更新して、レポートがチーム プロジェクト ポータル サイトに正しく表示されるようにするには、次の操作を行います。

SQL レポート サーバーのチーム プロジェクト サイトを更新するには

  1. Team Foundation のアプリケーション層サーバーで、コマンド プロンプト ウィンドウを開き、ディレクトリを Drive:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools に変更します。

  2. コマンド プロンプトで次のコマンドを入力し、以下の文字列を置き換えます。

    • SharePointSite は、SharePoint 製品とテクノロジのサイト コレクションの新しい URI (Uniform Resource Indicator) です。

    • Reports は、SQL Server Reporting Services の新しい URI です。

    • ReportServer は、ReportsService.asmx Web サービスの新しい URI です。

      **TfsConfigWss ConfigureReporting /SharepointSitesUri:SharePointSite/ReportsUri:Reports/ReportServerUri:**ReportServer

Team Foundation Server 構成情報の更新

構成情報を更新して、Windows SharePoint Services Web サイトと Reporting Services Web サイトの https URL 値を反映するには、次の手順を実行します。

Team Foundation Server の構成情報を更新するには

  1. Team Foundation アプリケーション層サーバーで、コマンド プロンプト ウィンドウを開き、ディレクトリを Drive:\%ProgramFiles%\Microsoft Visual Studio 2008 Team Foundation Server\Tools に変更します。

  2. 次のコマンドを入力して、以下の文字列を置き換えます。

    • BaseServerURL は、Team Foundation アプリケーション層サーバーの Web サーバーの新しい URI です。

    • BaseSiteURL は、アプリケーション層サーバーの既定の Web サイトの新しい URI です。

    • SharePointSite は、SharePoint 製品とテクノロジのサイト コレクションの新しい URI です。

    • SharePointAdministration は、SharePoint サーバー管理 Web サイトの新しい URI です。

    • Reports は、SQL Server Reporting Services の新しい URI です。

    • ReportServer は、ReportsService.asmx Web サービスの新しい URI です。

    **TfsAdminUtil ConfigureConnections /ATUri:BaseServerURL/SharepointUri:BaseSiteURL/SharepointSitesUri:SharePointSite/SharepointAdminUri:SharePointAdministration/ReportsUri:Reports/ReportServerUri:**ReportServer

    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    名前付きインスタンスを使用している場合は、名前付きインスタンスを Reports および ReportServer の値の一部に指定する必要があります。名前付きインスタンスの名前を削除または変更しないでください。

    たとえば、Team Foundation Web SSL サイトのポート値にはポート 443、既定の Web サイト SSL のポート値には 1443、SharePoint サーバー管理のポート値には 2443 を指定し、アプリケーション層サーバーの名前が Contosol の場合は、値を次のように変更します。

    **TfsAdminUtil ConfigureConnections /ATUri:**https://Contoso1:443 **/SharepointUri:**https://Contoso1:1443 **/SharepointSitesUri:https://Contoso1:1443/Sites/SharepointAdminUri:**https://Contoso1:2443 /ReportsUri:https://Contoso1:1443/Reports/ReportServerUri:https://Contoso1:1443/ReportServer

    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    ConfigureConnections コマンドには、電子メール通知で使用するパブリック Web アドレスなど、いくつかの追加のオプションがあります。詳細については、「ConfigureConnections コマンド」を参照してください。

SSL 接続に対応する Reporting Services の構成

Reporting Services を構成して SSL の使用を必須とするには、次の操作を行います。

SSL 接続に対応する Reporting Services を構成するには

  1. Team Foundation アプリケーション層サーバーで、[スタート] ボタンをクリックし、[プログラム] をポイントします。次に、[Microsoft SQL Server 2005] をポイントし、[構成ツール] をポイントして、[Reporting Services 構成] をクリックします。

  2. [レポート サーバー インスタンスの選択] ダイアログ ボックスで、コンピュータ名とインスタンス名が正しいことを確認し、[接続] をクリックします。

  3. エクスプローラ ペインで、[レポート サーバー仮想ディレクトリ] をクリックします。

  4. [レポート サーバー仮想ディレクトリの設定] の [Secure Socket Layer (SSL) 接続を要求する] を選択します。[次の場合に必要] で [1 - 接続] を選択します。[証明書名] で、Team Foundation アプリケーション層の名前を入力し、[適用] をクリックします。

  5. Reporting Services 構成マネージャを閉じます。

ビルド コンピュータへの証明書のインストール

ビルド サービスを複数のサーバーにインストールした場合は、サーバーごとに証明書をインストールする必要があります。

Aa833873.alert_note(ja-jp,VS.90).gifメモ :

ビルドを SSL 上で実行するには、ビルド サービスが実行されているアカウントのビルド コンピュータおよびビルドを実行するコンピュータの両方で、信頼されたルート ストアに証明書がインストールされている必要があります。

ビルド コンピュータに証明書をインストールするには

  1. Administrators グループのメンバになっているアカウントを使ってビルド コンピュータにログオンします。

  2. ブラウザを開き、以下の Web サイトを開きます。CertificateServer は証明書サーバーの名前で、port は証明機関に割り当てた SSL ポート番号です。

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  3. セキュリティ メッセージのダイアログ ボックスが表示されます。[セキュリティの警告] で、[証明書の表示] をクリックします。

  4. [証明書] ダイアログ ボックスの [証明のパス] タブをクリックします。

  5. [証明のパス] で、証明機関をクリックします。この証明機関は、証明階層の最上位のノードであり、名前の横に赤い [X] 記号が付いている必要があります。この記号は、証明機関が Trusted Root Certification Authorities ストアに含まれていない、信頼されない機関であることを意味します。[証明書の表示] をクリックします。

  6. [証明書] ダイアログ ボックスで、[証明書のインストール] をクリックします。

    証明書のインポート ウィザードが開きます。[次へ] をクリックします。

  7. [証明書ストア] ページで、[証明書をすべて次のストアに配置する] を選択し、[参照] をクリックします。

  8. [証明書ストアの選択] で、[物理ストアを表示する] を選択します。[使用する証明書ストアを選択してください] で、[信頼されたルート証明機関] を展開し、[ローカル コンピュータ] を選択します。次に、[OK] をクリックします。

  9. [証明書ストア] ページで、[次へ] をクリックします。

  10. 証明書のインポート ウィザードの完了 ページで、[完了] をクリックします。

  11. 正しくインポートされたことを通知する [証明書のインポート ウィザード] ダイアログ ボックスが表示されることがあります。このダイアログ ボックスが表示された場合は、[OK] をクリックします。

  12. [証明書] ダイアログ ボックスで、[OK] をクリックします。最上位ノード証明階層の [証明書] ダイアログ ボックスが閉じます。

  13. [証明書] ダイアログ ボックスで、[OK] をクリックします。下位の証明書の [証明書] ダイアログ ボックスが閉じます。

  14. [セキュリティの警告] で、[いいえ] をクリックします。

  15. ブラウザを開き、以下の Web サイトを開きます。CertificateServer は証明書サーバーの名前で、port は証明機関に割り当てた SSL ポート番号です。

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  16. [ServerStatus Web サービス] ページが開きます。これは、証明書と証明機関が正しくインストールされたことを通知するページです。ブラウザを閉じます。

SSL 接続用のビルド エージェントの構成

SSL 接続用のビルド エージェントを構成するには、IP アドレスとポートの組み合わせごとに HTTPS 証明書を構成する必要があります。すべてのビルド エージェントがビルド コンピュータの同じポートを共有する場合、構成する必要がある証明書は 1 つだけです。複数のポートで複数のビルド エージェントを実行する場合は、ポートごとに証明書を構成する必要があります。

SSL の使用を必須とするビルド エージェントを構成するには、以下のタスクを順番に実行します。

  1. HTTPS の使用を必須とするビルド エージェントを作成して構成する。

  2. Visual Studio Team Foundation ビルド サービスを停止する。

  3. HTTPS の使用を必須とするようにビルド サービスの構成を変更する。

  4. 証明書を IP アドレスおよびポートに関連付ける。

  5. ビルド エージェント用のポートとプロトコルを構成する。

  6. Visual Studio Team Foundation ビルド サービスを再起動する。

  7. SSL 構成を検証する。

HTTPS の使用を必須とするビルド エージェントを構成するには

  1. [ビルド エージェントの管理] ダイアログ ボックスを開き、[保護されたチャネル (HTTPS) を要求する] チェック ボックスをオンにします。

    詳細については、「方法 : ビルド エージェントを作成および管理する」を参照してください。

  2. [編集] をクリックします。

    [ビルド エージェントのプロパティ] ダイアログ ボックスが表示されます。

  3. [エージェントの状態] ボックスの一覧の [無効] をクリックします。

Visual Studio Team Foundation ビルド サービスを停止するには

  1. Administrators グループのメンバになっているアカウントを使ってビルド コンピュータにログオンします。

  2. ビルド コンピュータで、[スタート] ボタンをクリックし、[コントロール パネル] をクリックして、[管理ツール] をクリックします。次に、[サービス] をクリックします。

  3. [サービス (ローカル)] ペインで、[Visual Studio Team Foundation Build] を右クリックし、[プロパティ] をクリックします。

    [(ローカル コンピュータ) Visual Studio Team Foundation Build のプロパティ] ダイアログ ボックスが表示されます。

  4. [サービスの状態] の [停止] をクリックします。

HTTPS の使用を必須とするようにビルド サービスの構成を変更するには

  1. Administrators グループのメンバになっているアカウントを使ってビルド コンピュータにログオンします。

  2. Drive:\Program Files\Microsoft Visual Studio 2008\Common7\IDE\PrivateAssemblies を開き、TfsBuildservice.config.exe を右クリックして、[開く] をクリックします。

    Visual Studio の XML エディタでファイルが開きます。

  3. <appSettings> セクションで、RequireSecureChannel キーの値を "true" に変更します。たとえば、キー定義を次の文字列に変更します。

    <add key="RequireSecureChannel" value="true" />

  4. 変更を保存して、ファイルを閉じます。

SSL 証明書を IP アドレスとポート番号に関連付けるには

  1. Administrators グループのメンバになっているアカウントを使ってビルド コンピュータにログオンします。

  2. 証明書スナップインを使用して、クライアント認証を目的とする X.509 証明書を見つけます。

    詳細については、「方法 : 証明書のサムプリントを取得する」(https://go.microsoft.com/fwlink/?LinkId=93828) を参照してください。

  3. 証明書のサムプリントをメモ帳などのテキスト エディタにコピーします。

  4. 16 進数文字の間にあるすべてのスペースを削除します。

    このタスクを実行するには、テキスト エディタの検索置換機能を使用してスペースを null 文字に置換します。

  5. ビルド コンピュータで、[スタート] ボタンをクリックし、[すべてのプログラム] をポイントします。次に [Windows Support Tools] をポイントし、[コマンド プロンプト] をクリックします。

  6. SSL ストアに対して HttpCfg.exe ツールを "set" モードで実行し、証明書をポート番号にバインドします。次の例に示すように、ツールはサムプリントを使用して証明書を識別します。

    httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces

    /i パラメータは、IPAddress:Port という構文で指定し、ビルド コンピュータのポート 9191 に証明書を設定することをツールに指示します。IP アドレス 0.0.0.0 は、単純にすべてのコンピュータ アドレスを予約します。精度を高くする必要がある場合は、エージェント サービスが発行される正確な IP アドレスを指定します。/h パラメータは、証明書のサムプリントを指定します。

    クライアント証明書のネゴシエーションが必要な場合は、次の例に示すようにパラメータ /f 2 を追加します。

    httpcfg set ssl /i 0.0.0.0:9191 /h ThumbprintWithNoSpaces /f 2

    HttpCfg.exe コマンドの構文の詳細については、「方法 : SSL 証明書を使用してポートを構成する」(https://go.microsoft.com/fwlink/?LinkId=93829) を参照してください。

ビルド エージェントのポートとプロトコルを構成するには

  1. コマンド プロンプトで、wcfhttpconfigfreePortNumber を実行します。コマンド ステートメントは次のような文字列になります。

    wcfhttpconfig free OldPortForHttp

    詳細については、「wcfhttpconfig (Team Foundation ビルド)」を参照してください。

  2. コマンド プロンプトで、wcfhttpconfigreserveUserAccountURL を実行します。コマンド ステートメントは次のようになります。

    wcfhttpconfig reserve Domain\Account https://+Computer:NewPortForHttps/Build/v2.0/AgentService.asmx

  3. Windows ファイアウォールの例外リストにポートを追加します。

Visual Studio Team Foundation ビルド サービスを再起動するには

  1. Administrators グループのメンバになっているアカウントを使ってビルド コンピュータにログオンします。

  2. ビルド コンピュータで、[スタート] ボタンをクリックし、[コントロール パネル] をクリックして、[管理ツール] をクリックします。次に、[サービス] をクリックします。

  3. [サービス (ローカル)] ペインで、[Visual Studio Team Foundation Build] を右クリックし、[プロパティ] をクリックします。

    [(ローカル コンピュータ) Visual Studio Team Foundation Build のプロパティ] ダイアログ ボックスが表示されます。

  4. [サービスの状態] の [開始] をクリックします。

SSL 構成を検証するには

  1. [ビルド エージェントの管理] ダイアログ ボックスを開きます。

    詳細については、「方法 : ビルド エージェントを作成および管理する」を参照してください。

  2. [編集] をクリックします。

    [ビルド エージェントのプロパティ] ダイアログ ボックスが表示されます。

  3. [エージェントの状態] ボックスの一覧の [有効] をクリックします。

  4. ビルド エージェントを使用してビルドを実行し、通信が行われていることを確認します。

    詳細については、「方法 : ビルド定義をキューに配置する/ビルド定義を開始する」を参照してください。

Team Foundation Server プロキシ コンピュータへの証明書のインストール

Team Foundation Server Proxy を 1 台以上のコンピュータにインストールした場合、コンピュータごとに証明書をインストールする必要があります。

Aa833873.alert_note(ja-jp,VS.90).gifメモ :

以下の手順に加えて、Team Foundation Server に指定した SSL ポートへのトラフィックを許可するように、プロキシ コンピュータに任意のファイアウォールを構成する必要があります。この方法によるファイアウォール構成の手順は、配置で使用しているファイアウォール ソフトウェアおよびハードウェアによって異なります。

Team Foundation Server プロキシ コンピュータに証明書をインストールするには

  1. Administrators グループのメンバになっているアカウントを使って Team Foundation Server Proxy サーバーにログオンします。

  2. ブラウザを開き、以下の Web サイトを開きます。CertificateServer は証明書サーバーの名前で、port は証明機関に割り当てた SSL ポート番号です。

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  3. セキュリティ メッセージのダイアログ ボックスが表示されます。[セキュリティの警告] で、[証明書の表示] をクリックします。

  4. [証明書] ダイアログ ボックスの [証明のパス] タブをクリックします。

  5. [証明のパス] で、証明機関をクリックします。この証明機関は、証明階層の最上位のノードであり、名前の横に赤い [X] 記号が付いている必要があります。この記号は、証明機関が Trusted Root Certification Authorities ストアに含まれていない、信頼されない機関であることを意味します。[証明書の表示] をクリックします。

  6. [証明書] ダイアログ ボックスで、[証明書のインストール] をクリックします。

    証明書のインポート ウィザードが開きます。[次へ] をクリックします。

  7. [証明書ストア] ページで、[証明書をすべて次のストアに配置する] を選択し、[参照] をクリックします。

  8. [証明書ストアの選択] で、[物理ストアを表示する] を選択します。[使用する証明書ストアを選択してください] で、[信頼されたルート証明機関] を展開し、[ローカル コンピュータ] を選択します。次に、[OK] をクリックします。

  9. [証明書ストア] ページで、[次へ] をクリックします。

  10. 証明書のインポート ウィザードの完了 ページで、[完了] をクリックします。

  11. 正しくインポートされたことを通知する [証明書のインポート ウィザード] ダイアログ ボックスが表示されることがあります。このダイアログ ボックスが表示された場合は、[OK] をクリックします。

  12. [証明書] ダイアログ ボックスで、[OK] をクリックします。最上位ノード証明階層の [証明書] ダイアログ ボックスが閉じます。

  13. [証明書] ダイアログ ボックスで、[OK] をクリックします。下位の証明書の [証明書] ダイアログ ボックスが閉じます。

  14. [セキュリティの警告] で、[いいえ] をクリックします。

  15. ブラウザを開き、以下の Web サイトを開きます。CertificateServer は証明書サーバーの名前で、port は証明機関に割り当てた SSL ポート番号です。

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  16. [ServerStatus Web サービス] ページが開きます。これは、証明書と証明機関が正しくインストールされたことを通知するページです。ブラウザを閉じます。

クライアント コンピュータへの証明書のインストール

Team Foundation Server にアクセスする各クライアント コンピュータには、証明書をローカルにインストールする必要があります。また、クライアント コンピュータが以前に Team Foundation Server チーム プロジェクトにアクセスした場合は、そのコンピュータから Team Foundation Server に接続するすべてのユーザーについてクライアント キャッシュをクリアしないと、Team Foundation Server に接続できません。

Aa833873.alert_caution(ja-jp,VS.90).gif重要 :

Team Foundation Server を実行しているサーバーにインストールされている Team Foundation クライアントに対しては、この操作を実行しないでください。

Team Foundation クライアント コンピュータに証明書をインストールするには

  1. Administrators グループのメンバになっているアカウントを使って Team Foundation クライアント コンピュータにログオンします。

  2. ブラウザを開き、以下の Web サイトを開きます。CertificateServer は証明書サーバーの名前で、port は証明機関に割り当てた SSL ポート番号です。

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  3. セキュリティ メッセージのダイアログ ボックスが表示されます。[セキュリティの警告] で、[証明書の表示] をクリックします。

  4. [証明書] ダイアログ ボックスの [証明のパス] タブをクリックします。

  5. [証明のパス] で、証明機関をクリックします。この証明機関は、証明階層の最上位のノードであり、名前の横に赤い [X] 記号が付いている必要があります。この記号は、証明機関が Trusted Root Certification Authorities ストアに含まれていない、信頼されない機関であることを意味します。[証明書の表示] をクリックします。

  6. [証明書] ダイアログ ボックスで、[証明書のインストール] をクリックします。

    証明書のインポート ウィザードが開きます。[次へ] をクリックします。

  7. [証明書ストア] ページで、[証明書をすべて次のストアに配置する] を選択し、[参照] をクリックします。

  8. [証明書ストアの選択] で、[物理ストアを表示する] を選択します。[使用する証明書ストアを選択してください] で、[信頼されたルート証明機関] を展開し、[ローカル コンピュータ] を選択します。次に、[OK] をクリックします。

  9. [証明書ストア] ページで、[次へ] をクリックします。

  10. 証明書のインポート ウィザードの完了 ページで、[完了] をクリックします。

  11. 正しくインポートされたことを通知する [証明書のインポート ウィザード] ダイアログ ボックスが表示されることがあります。このダイアログ ボックスが表示された場合は、[OK] をクリックします。

  12. [証明書] ダイアログ ボックスで、[OK] をクリックします。最上位ノード証明階層の [証明書] ダイアログ ボックスが閉じます。

  13. [証明書] ダイアログ ボックスで、[OK] をクリックします。下位の証明書の [証明書] ダイアログ ボックスが閉じます。

  14. [セキュリティの警告] で、[いいえ] をクリックします。

  15. ブラウザを開き、以下の Web サイトを開きます。CertificateServer は証明書サーバーの名前で、port は証明機関に割り当てた SSL ポート番号です。

    https://CertificateServer:port/services/v1.0/serverstatus.asmx

  16. [ServerStatus Web サービス] ページが開きます。これは、証明書と証明機関が正しくインストールされたことを通知するページです。ブラウザを閉じます。

Team Foundation クライアント コンピュータのキャッシュをクリアするには

  1. 更新対象のユーザーのユーザー資格情報を使用して Team Foundation クライアント コンピュータにログオンします。

  2. Team Foundation クライアント コンピュータで、開いているすべての Visual Studio インスタンスを閉じます。

  3. ブラウザを開き、次のフォルダを開きます。

    drive**:\Documents and Settings\username\Local Settings\Application Data\Microsoft\Team Foundation\2.0\Cache**

  4. Cache ディレクトリの内容を削除します。すべてのサブフォルダが削除されたことを確認してください。

  5. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。次に、「devenv /resetuserdata」と入力し、[OK] をクリックします。

  6. Team Foundation Server にアクセスするコンピュータ上の各ユーザー アカウントに対して、この手順を繰り返します。

    Aa833873.alert_note(ja-jp,VS.90).gifメモ :

    キャッシュのクリア手順に関する指示をすべての Team Foundation Server ユーザーに配布して、ユーザーが自分自身でキャッシュをクリアできるようにすることも検討してください。

参照

処理手順

チュートリアル : Secure Socket Layer (SSL) および ISAPI フィルタを使用する Team Foundation Server のセットアップ

概念

Team Foundation Server、HTTPS、および SSL (Secure Sockets Layer)

Team Foundation Server の基本認証およびダイジェスト認証

その他の技術情報

Team Foundation 管理のチュートリアル

HTTPS と Secure Sockets Layer (SSL) を使用した Team Foundation Server のセキュリティ保護