Einrichten von HTTPS mit Secure Sockets Layer (SSL) für Azure DevOps lokal

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 - TFS 2013

Hinweis

Azure DevOps Server wurde zuvor als Visual Studio Team Foundation Server bezeichnet.

Sie können die Sicherheit Ihrer Bereitstellung von Azure DevOps Server erhöhen, indem Sie sie für die Verwendung von Https (Hypertext Transfer Protocol Secure) mit Secure Sockets Layer (SSL) konfigurieren. Sie können festlegen, dass entweder dieses Protokoll erforderlich sein soll, wodurch die Sicherheit der Bereitstellung maximiert wird, oder dass zusätzlich zum Standardprotokoll (HTTP) HTTPS mit SSL unterstützt wird. Wenn Sie Release Management für Visual Studio 2013 verwenden, können Sie auch hierfür die Verwendung von HTTPS mit SSL konfigurieren, allerdings können HTTP und HTTPS mit SSL nicht gleichzeitig unterstützt werden.

Bevor Sie eine Konfiguration auswählen, informieren Sie sich über die Vorteile und Nachteile, die hier beschrieben werden. Wenn Sie die am besten für die Sicherheitsanforderungen in Ihrer Organisation geeignete Konfiguration gefunden haben, führen Sie zur Konfiguration der Bereitstellung die in diesem Thema beschriebenen Schritte aus.

In diesem Thema

Vorteile einer zusätzlichen Unterstützung von HTTPS mit SSL neben HTTP

Wenn Sie die Bereitstellung von Azure DevOps Server so konfigurieren, dass beide Protokolle unterstützt werden, stellen Benutzer, deren Computer für HTTPS mit SSL konfiguriert wurden, eine Verbindung mithilfe dieses Protokolls her, wodurch Ihre Bereitstellung sicherer wird. Außerdem können Benutzer, deren Computer für HTTP konfiguriert wurden, nach wie vor eine Verbindung mit der Bereitstellung herstellen. Obwohl Sie diese Konfiguration nicht über öffentliche Netzwerke bereitstellen sollten, können Sie die folgenden Vorteile nutzen, indem Sie weiterhin HTTP-Verbindungen in einer gesteuerten Netzwerkumgebung unterstützen:

  • Sie können die Sicherheit der Bereitstellung im Laufe der Zeit erhöhen, indem Sie Clientcomputer für HTTPS mit SSL konfigurieren (je nach Vereinbarkeit mit Ihrem Zeitplan). Wenn Sie die entsprechenden Schritte in Phasen ausführen möchten, müssen Sie nicht alle Computer gleichzeitig aktualisieren, und Benutzer, deren Computer noch nicht aktualisiert wurden, können nach wie vor eine Verbindung mit der Bereitstellung herstellen.

  • Sie können Azure DevOps Server einfacher konfigurieren und verwalten.

  • Aufrufe, die von einem Webdienst an einen anderen Webdienst gerichtet werden, laufen über HTTP schneller ab als über HTTPS mit SSL. Sie können daher weiterhin HTTP-Verbindungen von Clientcomputern unterstützen, bei denen Sicherheitsrisiken zugunsten von Leistungsanforderungen in den Hintergrund rücken.

Vorteile der verbindlichen Verwendung von HTTPS mit SSL für alle Verbindungen

Wenn Sie für alle Verbindungen HTTPS mit SSL als verbindlich festlegen, bietet dies folgende Vorteile:

  • Alle Webverbindungen zwischen der Anwendungsebene, der Datenebene und der Clientebene für Azure DevOps sind sicherer, da sie Zertifikate erfordern.

  • Sie können Zugriffe einfacher steuern, indem Sie Zertifikate so konfigurieren, dass sie am voraussichtlichen Ende einer Projektphase ablaufen.

Nachteile der Unterstützung oder verbindlichen Verwendung von HTTPS mit SSL

Bevor Sie Azure DevOps Server konfigurieren, um HTTPS mit SSL zu unterstützen oder zu erfordern, sollten Sie die folgenden Nachteile berücksichtigen:

  • Laufende Verwaltungsaufgaben könnten verkompliziert werden. Beispiel: Unter Umständen muss die Bereitstellung neu konfiguriert werden, um die Unterstützung von HTTPS mit SSL zu beenden, bevor Service Packs oder andere Updates angewendet werden können.

  • Eine Zertifizierungsstelle und Zertifikatsvertrauenslisten müssen nicht nur konfiguriert, sondern auch verwaltet werden. Sie können Zertifikatdienste in Windows Server 2003 und Windows Server 2008 verwenden, aber Sie möchten möglicherweise nicht die Zeit und Ressourcen investieren, die für die Bereitstellung einer sicheren Public Key-Infrastruktur (PKI) erforderlich sind.

  • Sie müssen mit einem hohen Zeitaufwand für das Einrichten und Testen der Konfigurationen rechnen, und die Problembehandlung für die Bereitstellung wird komplizierter.

  • Wenn Sie beide Protokolle weiterhin unterstützen, werden externe Verbindungen möglicherweise nicht verschlüsselt, wenn die Anwendungsebene für Azure DevOps nicht ordnungsgemäß geschützt ist.

  • Wenn Sie die Verwendung von HTTPS mit SSL als verbindlich festlegen, laufen Vorgänge in der Bereitstellung langsamer ab.

Konfigurieren der Bereitstellung für die Unterstützung oder die verbindliche Verwendung von HTTPS mit SSL

Die Verfahren in diesem Thema beschreiben einen Prozess zum Anfordern, Ausstellen und Zuweisen von Zertifikaten, die für SSL-Verbindungen in Azure DevOps Server erforderlich sind. Wenn Sie andere Software als die in diesem Thema beschriebene verwenden, müssen Sie ggf. andere Schritte ausführen. Um externe Verbindungen mit Ihrer Azure DevOps Server-Bereitstellung zu unterstützen, müssen Sie auch standardauthentifizierung, Digestauthentifizierung oder beides in Internetinformationsdienste (IIS) aktivieren.

Durch Ausführen der folgenden Prozeduren in diesem Thema führen Sie die folgenden Aufgaben aus:

  1. Rufen Sie Zertifikate für Ihre Bereitstellung von Azure DevOps Server und der verwendeten Websites ab.

  2. Installieren und Zuweisen der Zertifikate.

  3. Konfigurieren Sie Azure DevOps Server.

  4. Konfigurieren Sie Team Foundation Build.

  5. Konfigurieren von Release Management für Visual Studio 2013

  6. Konfigurieren von Clientcomputern.

Voraussetzungen

Zum Ausführen der Prozeduren in diesem Thema müssen zunächst die folgenden Voraussetzungen erfüllt sein:

  • Die logischen Komponenten in den Daten- und Anwendungsebenen von Azure DevOps müssen installiert werden, obwohl im Fall von Azure DevOps Server selbst nicht notwendigerweise konfiguriert ist. Zu diesen Tarifen gehören IIS, SQL Server und alle zusätzlichen Komponenten, die Sie möglicherweise integriert haben, z. B. SharePoint Products, Team Foundation Build, Release Management und SQL Server Reporting Services.

    Die Verfahren in diesem Thema beziehen sich auf die Server, auf denen die logischen Komponenten in der Anwendung und auf den Datenebenen für Azure DevOps ausgeführt werden. Die Anwendungs- und Datenebenen werden möglicherweise auf demselben Server oder auf mehreren Servern ausgeführt, wie in Azure DevOps Server Installationshandbuchbeschrieben.

  • Sie müssen über eine Zertifizierungsstelle verfügen, mit der Sie Zertifikate ausstellen können, oder eine Zertifizierungsstelle eines Drittanbieters mit einer vertrauenswürdigen Kette abonniert haben. In diesem Thema wird davon ausgegangen, dass Sie als Zertifizierungsstelle Zertifikatdienste verwenden, Sie können jedoch jede Zertifizierungsstelle, die Sie für die Bereitstellung konfiguriert haben, oder auch Zertifikate von vertrauenswürdigen Drittanbieter-Zertifizierungsstellen verwenden. Wenn Sie keine Zertifizierungsstelle besitzen, können Sie Zertifikatdienste installieren und eine Zertifizierungsstelle konfigurieren. Weitere Informationen finden Sie in einer der folgenden Dokumentationen auf der Microsoft-Website:

  • Sie müssen Administrator sein, um alle Komponenten der Bereitstellung für HTTPS und SSL konfigurieren zu können. Wenn Sie eine verteilte Bereitstellung verwenden, in der verschiedene Personen Administratorberechtigungen für einzelne Komponenten besitzen (beispielsweise SharePoint), müssen Sie sich mit diesen Personen absprechen, um die Konfiguration abzuschließen.

  • Insbesondere müssen Sie der Gruppe Team Foundation-Administratoren und der Gruppe Administratoren auf Anwendungsebene, Datenebene und Azure DevOps Proxyserver oder Server für Team Foundation angehören.

  • Zum Konfigurieren eines Buildservers müssen Sie der Gruppe Administratoren auf diesem Server angehören.

  • Um Release Management konfigurieren zu können, müssen Sie der Gruppe Administratoren auf dem Server angehören, der Release Management Server hostet, und Mitglied der Release Manager-Rolle in Release Management sein.

  • Wenn Ihre Bereitstellung SharePoint Produkte verwendet, müssen Sie der Gruppe Administratoren auf dem Server angehören, der SharePoint Zentraladministration hostet. Sie müssen auch der Gruppe Farmadministratoren angehören.

  • Wenn die Bereitstellung Berichterstellung verwendet, müssen Sie Mitglied einer Verwaltungssicherheitsgruppe sein oder über die entsprechenden Berechtigungen verfügen, die einzeln für das Konfigurieren von Reporting Services festgelegt sind.

    Weitere Informationen zu Berechtigungen finden Sie unter Berechtigungsreferenz für Azure DevOps Server.

Annahmen

In den Prozeduren in diesem Thema wird davon ausgegangen, dass die folgenden Bedingungen erfüllt sind:

  • Der bzw. die Datenebenen- und Anwendungsebenenserver wurden in einer sicheren Umgebung installiert und bereitgestellt und entsprechend den empfohlenen Sicherheitsvorgehensweisen konfiguriert.

  • Sie haben Release Management für Visual Studio 2013 installiert.

  • Sie kennen sich mit der Konfiguration und Verwaltung von PKIs und der Anforderung, Ausstellung und Zuweisung von Zertifikaten aus.

  • Sie sind mit der Netzwerktopologie der Entwicklungsumgebung vertraut und mit dem Konfigurieren von Netzwerkeinstellungen, IIS und SQL Server vertraut.

Abrufen eines Zertifikats

Bevor Sie Azure DevOps Server für die Verwendung von HTTPS mit SSL konfigurieren, müssen Sie ein Serverzertifikat für die Server in Ihrer Bereitstellung abrufen und installieren. Um ein Serverzertifikat abzurufen, müssen Sie eine eigene Zertifizierungsstelle installieren und konfigurieren oder eine Zertifizierungsstelle einer externen Organisation verwenden, der Sie vertrauen (Drittanbieterzertifikate).

Weitere Informationen zum Installieren einer Zertifizierungsstelle finden Sie in den folgenden Themen auf der Microsoft-Website:

Anfordern, Installieren und Konfigurieren von Websites mit einem Zertifikat

Nachdem Sie sich bei einer Zertifizierungsstelle eingetragen haben, müssen Sie entweder mit IIS-Manager ein Zertifikat anfordern oder das Zertifikat manuell auf jedem der folgenden Server in der Bereitstellung installieren:

  • Jeder Anwendungsebenenserver.

  • Jeder Server, auf dem Azure DevOps Proxyserver ausgeführt wird, sofern ein serverseitiger Server für Ihre Bereitstellung konfiguriert ist.

  • Jeder Server, auf dem Team Foundation Build Service ausgeführt wird, ist entweder als Buildcontroller oder als Build-Agent konfiguriert, sofern ein Server für Ihre Bereitstellung konfiguriert ist.

  • Jeder Server, auf dem Release Management Server ausgeführt wird, oder alle Server¹ in einer Releaseumgebung, auf denen Deployment Agent ausgeführt wird, falls Release Management Teil der Bereitstellung ist.

  • Jeder Server, auf dem SharePoint Products ausgeführt wird, SharePoint Produkte für Ihre Bereitstellung konfiguriert ist.

    Hinweis

    Das Konfigurieren einer SharePoint-Website für die Verwendung von HTTPS und Zertifikaten erfordert häufig zusätzliche Schritte, z. B. das Konfigurieren alternativer Zugriffszuordnungen und das Konfigurieren der Authentifizierungsinfrastruktur. Weitere Informationen finden Sie in der aktuellen SharePoint-Dokumentation für Ihre Version des Produkts.

  • Der Server, auf dem SQL Server Reporting Services ausgeführt wird, sofern ein Server für die Bereitstellung konfiguriert wurde.

Außerdem müssen die Clientcomputer in der Bereitstellung in der Zertifikatkette registriert sein und das erforderliche Zertifikat anfordern. Wenn Sie Release Management verwenden, gehören hierzu alle Computer, auf denen Release Management Client ausgeführt wird, sowie alle Clients¹, auf denen Deployment Agent in Releaseumgebungen ausgeführt wird. Wenn Projekte Git für die Versionskontrolle verwenden, müssen Benutzer in diesen Projekten auch Git auf ihren Computern konfigurieren, um das Clientzertifikat erkennen und verwenden zu können. Informationen darüber, wie ein Clientzertifikat einer bestimmten Zertifizierungsstelle angefordert wird, finden Sie in der Dokumentation für diese Zertifizierungsstelle.

¹ Clients und Server werden hier getrennt aufgeführt, dies ist jedoch lediglich eine Konvention dieses Dokuments. Das Zertifikat muss auf allen Computern installiert werden, auf denen Deployment Agent ausgeführt wird.

  1. Öffnen Sie das Dialogfeld Internetinformationsdienste-Manager.

  2. Erweitern Sie Ihren Server, navigieren Sie zu Serverzertifikate, und erstellen und schließen Sie Ihre Zertifikatanforderung ab.

    IIS-Manager öffnen und Zertifikat anfordern

    Anforderung erstellen und dann fertig stellen

    Weitere Informationen finden Sie unter Konfigurieren von Serverzertifikaten in IIS.

  3. Importieren Sie das Zertifikat.

  4. Nun müssen Sie jede Website, die dieses Zertifikat benötigt, mit den entsprechenden Einstellungen konfigurieren (ausgenommen die Release Management-Website, die wir später konfigurieren). Insbesondere müssen Sie dies für jede der folgenden Websites ausführen:

    • Standardwebsite

    • Azure DevOps Server

    • Azure DevOps Server Proxy (wenn ihre Bereitstellung ihn verwendet)

    • SharePoint-Zentraladministration (wenn die Bereitstellung SharePoint verwendet)

    Öffnen Sie auf jedem Server, der eine website hostet, die Sie konfigurieren möchten, Internetinformationsdienste (IIS) Manager.

  5. Erweitern Sie ComputerName, Standorte, öffnen Sie das Untermenü für die Website, die Sie konfigurieren möchten (z. B. Azure DevOps Server), und wählen Sie dann im Bereich Aktionen die Option Bindungen aus.

    Sie müssen Bindungen für alle Sites konfigurieren.

  6. Wählen Sie unter Sitebindungen die Option Hinzufügen aus.

    Das Dialogfeld Sitebindung hinzufügen wird angezeigt.

  7. Wählen Sie in der Liste Typ die Option https aus.

    Geben Sie unter Port eine andere Portnummer ein.

    Wichtig

    Die Standardportnummer für SSL-Verbindungen ist 443. Sie müssen jedoch jedem der folgenden Websites eine eindeutige Portnummer zuweisen: Standardwebsite, Azure DevOps Server, Azure DevOps Server-Proxy (wenn Ihre Bereitstellung sie verwendet) und SharePoint-Zentraladministration (wenn Ihre Bereitstellung SharePoint verwendet).

    Notieren Sie sich die SSL-Portnummer für jede Website, die Sie konfigurieren. Sie müssen diese Nummern in der Verwaltungskonsole für die Azure DevOps.

    Wählen Sie unter SSL-Zertifikat das zertifikat aus, das Sie importiert haben, und klicken Sie dann auf OK, und schließen Sie die Seite Bindungen.

    Auswahl einer eindeutigen Portnummer sicherstellen

  8. Öffnen Sie auf der Startseite der Website, die Sie konfigurieren, die Ansicht Features.

  9. Wählen Sie unter IIS die Option Authentifizierung aus.

  10. Wählen Sie eine Authentifizierungsmethode, die Sie konfigurieren möchten, öffnen Sie deren Untermenü, und aktivieren, deaktivieren oder bearbeiten Sie zusätzliche Konfigurationseinstellungen Ihren Sicherheitsanforderungen entsprechend. Wenn Sie beispielsweise anonyme Authentifizierung deaktivieren möchten, wählen Sie die Methode "Anonyme Authentifizierung", und wählen Sie anschließend im Menü "Aktionen" die Option "Deaktivieren".

    Methode auswählen und dann auf die Schaltfläche durchzuführende Aktion klicken

  11. Nachdem Sie die Konfiguration abgeschlossen haben, starten Sie Webdienste neu.

Konfigurieren der Firewall

Sie müssen die Firewall so konfigurieren, dass Datenverkehr durch die SSL-Ports zugelassen wird, die Sie soeben in IIS angegeben haben. Weitere Informationen finden Sie in der Dokumentation zu Ihrer Firewall.

Wichtig

Testen Sie den Datenverkehr mit einem anderen Computer über die festgelegten Ports. Wenn Sie nicht auf die Standardwebsite oder das Webportal zugreifen können, überprüfen Sie die Porteinstellungen, die Sie für diese Websites in IIS angegeben haben, und stellen Sie sicher, dass die Firewall so konfiguriert ist, dass Datenverkehr an diesen Ports zulässig ist.

Konfigurieren von SQL Server Reporting Services

Wenn ihre Bereitstellung Berichterstellung verwendet, müssen Sie SQL Server Reporting Services konfigurieren, um HTTPS mit SSL zu unterstützen und den Port zu verwenden, den Sie in IIS für Azure DevOps Server. Andernfalls funktioniert der Berichtsserver für die Bereitstellung nicht ordnungsgemäß. Weitere Informationen finden Sie unter Konfigurieren eines Berichtsservers für Secure Sockets Layer (SSL)-Verbindungen.

Tipp

Wenn in Ihrer Bereitstellung keine Berichterstellung verwendet wird, können Sie diese Prozedur auslassen.

Konfigurieren von HTTPS für Azure DevOps Server

Führen Sie diese Schritte aus, um Ihre Azure DevOps Server-Bereitstellung mit den HTTPS-Ports und -Werten zu konfigurieren, die Sie in IIS für die Standard- und Azure DevOps Server konfiguriert haben.

So konfigurieren Sie die Azure DevOps Server, um HTTPS zu verwenden oder zu erfordern

  1. Öffnen Sie die Verwaltungskonsole für Azure DevOps navigieren Sie zum Knoten der Anwendungsebene.

  2. Wählen Sie unter Zusammenfassung der Anwendungsebene die Option URLs ändern aus.

    Das Fenster URLs ändern wird geöffnet.

  3. Geben Sie unter Benachrichtigungs-URL die HTTPS-URL ein, die Sie für die Azure DevOps Server-Website in IIS konfiguriert haben.

    Beispiel: Sie haben konfiguriert, dass für die Website Port 444 verwendet werden soll. Geben Sie in diesem Fall https://ServerName:444/tfs ein. Stellen Sie sicher, dass Sie den vollqualifizierten Domänennamen des Servers anstelle von "localhost" verwenden.

    HTTPS, Server und Port in der Adresse angeben

  4. Wählen Sie Testen aus. Wählen Sie nicht OK aus, wenn der Test nicht bestanden wird. Wechseln Sie zurück, und überprüfen Sie, ob Sie die richtige URL und die richtigen Portinformationen eingegeben haben, ob alle Firewalls so konfiguriert sind, dass sie Datenverkehr über diese Anschlüsse erlauben, und ob die Website verfügbar ist und im IIS-Manager ausgeführt wird.

  5. Um HTTPS zu erfordern, wählen Sie In Server-URL verwenden aus, und geben Sie dann die HTTPS-URL ein, die Sie für die Azure DevOps Server konfiguriert haben.

    Stellen Sie sicher, dass Sie den vollqualifizierten Domänennamen des Servers anstelle von "localhost" verwenden.

  6. Wählen Sie Testen und dann OK aus, wenn der Test bestanden wurde.

  7. Wenn ihre Bereitstellung SharePoint Produkte verwendet, wählen SharePoint in der Verwaltungskonsole webanwendungen aus. Andernfalls überspringen Sie die nächsten sechs Schritte.

  8. Wählen SharePoint Webanwendungen in der Liste Name eine Webanwendung und dann Ändern aus.

    Die SharePoint Web Application Einstellungen wird geöffnet.

  9. Ändern Sie unter Webanwendungs-URL die URL in den HTTPS-Wert für die Anwendung.

  10. Ändern Sie unter Zentraladministrations-URL die URL in den HTTPS-Wert für die Website der Zentraladministration.

  11. (Optional) Ändern Sie in Friendly Name(Benutzerfreundlich) den Wert so, dass er die HTTPS-Adresse dieser Anwendung wieder spiegelt.

  12. Klicken Sie auf OK.

  13. Wiederholen Sie die vorherigen fünf Schritte für jede SharePoint-Webanwendung in der Bereitstellung.

  14. Wenn Ihre Bereitstellung Reporting Services, wählen Sie in der Verwaltungskonsole Berichterstellung aus. Andernfalls überspringen Sie den Rest dieser Prozedur.

  15. Wählen Sie unter Berichterstellung die Option Bearbeiten aus.

    Wenn das Dialogfeld Offline schalten geöffnet wird, wählen Sie OK aus.

    Das Fenster Berichterstellung wird geöffnet.

  16. Wählen Sie die Registerkarte Berichte aus. Geben Sie unter URLs für Den Berichtsserver die HTTPS-URLs für den Webdienst ein, Berichts-Manager , und klicken Sie dann auf OK.

Testen des Zugriffs auf die Bereitstellung

Sie sollten testen, ob die Änderungen erwartungsgemäß funktionieren. Dieser Schritt ist optional, wird jedoch dringend empfohlen.

So testen Sie den Zugriff auf die Bereitstellung

  1. Öffnen Sie auf einem Computer, der nicht die Anwendungsebene hostet, einen Webbrowser, und navigieren Sie zu einer Teamhomepage.

  2. Überprüfen Sie, ob Sie über das Webportal, einschließlich der Verwaltungsseiten, auf Ihre Teams und Projekte zugreifen können.

  3. Wenn Sie nicht über das Webportal auf Ihre Bereitstellung zugreifen können, überprüfen Sie die schritte, die Sie gerade abgeschlossen haben, und stellen Sie sicher, dass Sie alle Konfigurationsänderungen ordnungsgemäß vorgenommen haben.

Konfigurieren der Bereitstellung für die verbindliche Verwendung von HTTPS mit SSL (optional)

Sie können verlangen, dass alle Verbindungen mit der Azure DevOps Server-Anwendungsebene HTTPS mit SSL verwenden. Diese zusätzliche Sicherheitsmaßnahme ist optional, wird jedoch empfohlen.

So legen Sie SSL-Verbindungen als verbindlich fest

  1. Wählen Sie auf dem Server, der die website hostet, die Sie konfigurieren möchten, Starten aus, wählen Sie Verwaltung und dann Internetinformationsdienste (IIS) Manager aus.

  2. Führen Sie die entsprechenden Schritte für die von Ihnen verwendete Version von IIS aus:

    Für Bereitstellungen, die IIS 7.0 verwenden:

    1. Erweitern Sie ComputerName, und erweitern Sie Websites, und wählen Sie dann die Website aus, die Sie konfigurieren möchten.

    2. Wählen Sie auf der Startseite für diese Website SSL Einstellungen aus.

    3. Aktivieren Sie im Bereich SSL Einstellungen das Kontrollkästchen SSL erforderlich.

      (Optional) Aktivieren Sie das Kontrollkästchen 128-Bit-SSL erforderlich.

    4. Wählen Sie unter Clientzertifikate abhängig von den Sicherheitsanforderungen Ihrer Bereitstellung Ignorieren, Akzeptieren oder Anfordern aus.

    5. Wählen Sie unter Aktionen die Option Anwenden aus.

    6. Wiederholen Sie diese Schritte für jede Website, für die Sie die verbindliche Verwendung von SSL festlegen möchten.

Installieren des Zertifikats auf Buildservern

Wenn Sie Team Foundation Build Service auf einem oder mehreren Servern installiert haben, müssen Sie das Zertifikat im Vertrauenswürdige Stammzertifizierungsstellen Speicher jedes Servers installieren. Weitere Informationen finden Sie unter Abrufen eines Zertifikats und Anfordern, Installieren und Konfigurieren von Websites mit einem Zertifikat weiter oben in diesem Thema. Sowohl der Controller als auch der Agent erfordern ein Zertifikat mit einem privaten Schlüssel, mit dem sie sich in HTTPS-Verbindungen identifizieren.

Hinweis

Um Buildvorgänge über SSL auszuführen, muss das Zertifikat im vertrauenswürdigen Stammspeicher sowohl auf dem Buildcontroller als auch auf dem Build-Agent installiert sein.

Aktualisieren von Buildkonfigurationen

Zum Konfigurieren von Team Foundation Build für SSL-Verbindungen müssen Sie den Builddienst so konfigurieren, dass er die HTTPS-URL verwendet, die Sie für die Anwendungsebene und die Sammlung konfiguriert haben, die von der Buildkonfiguration unterstützt wird. Sie müssen diese URL für jede Buildkonfiguration in der Bereitstellung konfigurieren.

So legen Sie fest, dass für eine Buildkonfiguration HTTPS verwendet werden soll

  1. Öffnen Sie auf dem Server, der die zu konfigurierende Buildkonfiguration hostet, die Verwaltungskonsole für Team Foundation.

  2. Erweitern Sie unter Team Foundation den Namen des Servers, und wählen Sie dann Buildkonfiguration aus.

    Der Bereich Buildkonfiguration wird angezeigt.

  3. Wählen Sie unter der Dienstkonfiguration beenden und dann Eigenschaften aus.

    Das Dialogfeld Builddiensteigenschaften wird geöffnet.

  4. Stellen Sie unter Kommunikation sicher, dass die URL für die Projektsammlung die richtige HTTPS-Adresse und den vollständigen Servernamen verwendet.

  5. Wählen Sie unter Lokaler Builddienstendpunkt (eingehend) die Option Ändern aus.

    Das Dialogfeld Dienstendpunkt erstellen wird geöffnet.

  6. Überprüfen Sie unter Endpunktdetails, ob die Portnummer Ihren Konfigurationsdetails entspricht.

  7. Wählen Sie unter Protokoll die Option HTTPS aus.

  8. Wählen Sie in der Liste SSL-Zertifikate das Zertifikat aus, das Sie für die Verwendung mit dieser Bereitstellung installiert und konfiguriert haben, und klicken Sie dann auf OK.

    Sicherstellen, dass Konfigurationsdetails übereinstimmen

  9. Wählen Sie im Dialogfeld Builddiensteigenschaften die Option Starten aus.

Release Management und Azure DevOps Server

Sie können Release Management mit HTTPS vollständig getrennt von Azure DevOps Server bereitstellen, unabhängig vom Protokoll, das Sie für Azure DevOps Server verwenden, oder wenn Sie überhaupt Azure DevOps Server verwenden. Sie entscheiden sich jedoch für die Bereitstellung Release Management. Die Anweisungen zum Erstellen einer sicheren Bereitstellung für Release Management ähneln den anweisungen hier für Azure DevOps Server. Der Hauptunterschied ist das Verfahren zum Binden des HTTPS-Protokolls an die Release Management-Website, das weiter unten erläutert wird.

Arbeiten Sie zum Bereitstellen von Release Management mit HTTPS die folgende Aufgabenliste durch. Wenn Sie Release Management mit Azure DevOps Server konfigurieren, überspringen Sie alle Aufgaben, die Sie möglicherweise bereits für Azure DevOps Server Konfiguration abgeschlossen haben.

  1. Rufen Sie ein Zertifikat ab. Weitere Informationen finden Sie unter Abrufen eines Zertifikats.

  2. Konfigurieren Sie Release Management Server für die Verwendung von HTTPS. Weitere Informationen finden Sie im nächsten Abschnitt Konfigurieren von Release Management Server für die Verwendung von HTTPS.

  3. Installieren Sie das Zertifikat im vertrauenswürdigen Stammspeicher jedes Computers, auf dem Release Management Client oder Microsoft Deployment Agent ausgeführt wird. Weitere Informationen finden Sie weiter unten unter Konfigurieren von Clientcomputern.

  4. Öffnen Sie alle eventuell vorhandenen Firewalls. Nachdem Sie die Zertifikate installiert haben, öffnen Sie alle für SSL-Datenverkehr benötigten Ports. Weitere Informationen finden Sie unter Konfigurieren ihrer Firewall.

  5. Tests durchführen Die Website für Release Management Server ist nicht für das Browsen konfiguriert; um ihre Verfügbarkeit zu testen, verbinden Sie sie daher mit Release Management Client, verbinden Sie die Agents in Ihrer Umgebung, und führen Sie dann ein Release durch. Weitere Informationen finden Sie unter Herstellen aller Release Management Verbindungen mit HTTPS und Verwalten Ihres Release.

Konfigurieren von Release Management Server für die Verwendung von HTTPS

Release Management unterstützt entweder das HTTPS- oder das HTTP-Protokoll, nicht jedoch die gleichzeitige Verwendung beider Protokolle. Verwenden Sie dieses Verfahren, um das HTTPS-Protokoll an die Release Management-Website zu binden.

  1. Wählen Sie in Release Management Server die Option HTTPS aus, geben Sie die Portnummer ein, die Sie für HTTPS-Datenverkehr im Webdienstport verwenden möchten, und wählen Sie dann Einstellungen anwenden aus.

    Release Management Server für HTTPS konfigurieren

  2. Öffnen Sie das Dialogfeld Internetinformationsdienste-Manager.

  3. Erweitern Sie ComputerName, erweitern Sie Standorte, öffnen Sie das Untermenü für die Release Management Website, und wählen Sie dann im Bereich Aktionen die Option Bindungen aus.

  4. Wählen Sie unter Standortbindungen die Option Hinzufügen aus.

  5. Wählen Sie in der Liste Typ die Option https aus.

  6. Geben Sie unter Port eine andere Portnummer ein. Dies ist lediglich eine temporäre Portnummer, die zum Abschließen der Konfiguration erforderlich ist.

    Temporären Port hinzufügen

  7. Wählen Sie unter SSL-Zertifikat das Zertifikat aus, das Sie verwenden möchten, und klicken Sie dann auf OK, und schließen Sie die Seite Bindungen.

    Die ursprüngliche HTTP-Bindung und die soeben erstellte HTTPS-Bindung werden angezeigt.

  8. Wählen Sie die ursprüngliche HTTP-Bindung und dann Entfernen aus.

  9. Wählen Sie die HTTPS-Bindung und dann Bearbeiten aus.

  10. Ändern Sie Port von dem temporären Wert, den Sie in Schritt 6 hinzugefügt haben, in die Portnummer, die Sie in Schritt 1 im Release Management Server verwendet haben, und wählen Sie dann OK und Schließen aus.

    Temporären Port bearbeiten

    Die HTTPS-Portbindung auf der Release Management-Website in IIS entspricht dem Port, den Sie ursprünglich im Release Management Server-Konfigurationstool eingegeben haben.

    Port in IIS entspricht dem Port am Server

Herstellen aller Release Management-Verbindungen mit HTTPS

Nachdem die Zertifikate auf allen Computern installiert wurden, auf denen Release Management Client und Microsoft Deployment Agent ausgeführt werden, können Sie die Computer über SSL mit Release Management Server verbinden. Wenn Azure DevOps Server HTTPS mit SSL ausführt, müssen Sie die Azure DevOps Server Verbindung für die Verwendung von HTTPS konfigurieren.

Erstmaliges Einrichten einer Azure DevOps Server Verbindung? Dann finden Sie hier einige zusätzliche Schritte und Anforderungen an Kontoberechtigungen. Weitere Informationen finden Sie unter Verbinden Release Management zu Azure DevOps Server

Verbinden von Release Management Client mit Release Management Server über HTTPS

  1. Starten Sie Release Management Client.

    Tipp

    Wenn die Fehlermeldung ausgegeben wird, dass Sie keinen Zugriff mehr auf den Server haben, können Sie Release Management Client neu installieren, oder Sie können mit einem Befehlszeilentool unter Angabe des neuen Ports und Protokolls vom Client auf den Server verweisen. Weitere Informationen finden Sie in diesem Blogbeitrag.

  2. Wählen Sie Verwaltung und dann Einstellungen aus.

  3. Wählen Sie in Release Management Server-URL die Option Bearbeiten aus.

  4. Wählen Sie im Dialogfeld Dienste konfigurieren die Option HTTPS aus, geben Sie den vollqualifizierten Domänennamen und den SSL-Port des Release Management-Servers ein, und klicken Sie dann auf OK. Sie werden zum Neustarten der Anwendung aufgefordert.

Client mit HTTPS/SSL verbinden

Verbinden von Microsoft Deployment Agent mit Release Management Server über HTTPS

  1. Starten Sie Microsoft Deployment Agent.

  2. Geben Sie in Release Management Server die URL für den Release Management Server ein, und wählen Sie Einstellungen anwenden aus. Denken Sie daran, das HTTPS-Protokoll zu verwenden und den vollqualifizierten Domänennamen für den Server sowie den in ISS eingerichteten Port anzugeben.

Agent mit HTTPS/SSL verbinden

Verbinden Release Management Server zum Azure DevOps Server mit HTTPS

  1. Starten Sie Release Management Client.

  2. Wählen Sie Verwaltung und dann TFS verwalten aus.

  3. Ändern Sie das Protokoll der Verbindung zu HTTPS, aktualisieren Sie den Port (falls erforderlich), und wählen Sie Überprüfen aus.

Verbinden zum Azure DevOps Server mit HTTPS/SSL

Konfigurieren von Clientcomputern

Auf jedem Clientcomputer, von dem aus Benutzer auf Azure DevOps zugreifen, müssen Sie das Zertifikat lokal installieren und den Clientcache für alle Benutzer löschen, die von diesem Computer aus auf Azure DevOps zugegriffen haben. Andernfalls können Benutzer von diesem Computer keine Verbindung mit Azure DevOps herstellen. Weitere Informationen finden Sie unter Verwalten von vertrauenswürdigen Stammzertifikaten.

Wichtig

Befolgen Sie dieses Verfahren nicht für Computer, auf denen sowohl Azure DevOps Server als auch mindestens ein Client von Azure DevOps ausgeführt wird.

So installieren Sie das Zertifikat auf einem Clientcomputer

  1. Melden Sie sich mit einem Konto, das zur Gruppe Administratoren auf diesem Computer gehört, am Computer an.

  2. Installieren Sie das Zertifikat im Ordner Vertrauenswürdige Stammzertifizierungsstellen für den lokalen Computer.

So löschen Sie den Cache auf einem Clientcomputer

  1. Melden Sie sich mit den Anmeldeinformationen des Benutzers, dessen Cache Sie löschen möchten, am Computer an.

  2. Schließen Sie alle geöffneten Instanzen von Visual Studio.

  3. Öffnen Sie in einem Browserfenster den folgenden Ordner:

    Laufwerk: \ Users \ UserName \ AppData Local Microsoft Team Foundation \ \ \ \ 4.0 \ Cache

  4. Löschen Sie den Inhalt des Cacheverzeichnisses. Stellen Sie sicher, dass alle Unterordner gelöscht werden.

  5. Wählen Sie Starten aus, wählen Sie Ausführen aus, geben Sie devenv /resetuserdata ein, und klicken Sie dann auf OK.

  6. Wiederholen Sie diese Schritte für das Konto jedes Benutzers, der von diesem Computer aus auf Team Foundation zugegriffen hat.

    Hinweis

    Möglicherweise möchten Sie Anweisungen zum Löschen des Caches an alle Ihre Azure DevOps Benutzer verteilen, damit diese die Caches für sich selbst löschen können.

So verbinden Sie Clientcomputer mit der neu konfigurierten Bereitstellung

Konfigurieren von Git

Standardmäßig können Projekte, die Git für die Versionskontrolle verwenden, das SSL-Zertifikat, das Sie für Azure DevOps Server konfiguriert haben, nicht überprüfen. Dies liegt daran, dass Git im Gegensatz zu Azure DevOps Server und Visual Studio den Windows Zertifikatspeicher nicht erkennt. Stattdessen wird OpenSSL für den Zertifikatspeicher verwendet. Um ein Git-Repository für Projekte verwenden zu können, die mit SSL konfiguriert sind, müssen Sie Git mit dem Zertifikat am Stamm der Zertifizierungskette für Ihre TFS 2013-Bereitstellung konfigurieren. Dies ist eine Clientkonfigurationsaufgabe, die nur für Git-Repositoryprojekte gilt.

Weitere Informationen zur Funktionsweise von Git-Netzwerkvorgängen in Visual Studio 2013 finden Sie in diesem Blogbeitrag.

Tipp

Für andere Aufgaben zur Verwaltung von Git-Anmeldeinformationen, z. B. Windows Authentifizierung, sollten Sie Windows Credential Store für Githerunterladen und installieren.

So konfigurieren Sie den Zertifikatspeicher für Git

  • Melden Sie sich mit einem Konto, das zur Gruppe Administratoren auf diesem Computer gehört, am Computer an.

  • Überprüfen Sie, ob das erforderliche Zertifikat auf dem Computer installiert und konfiguriert wurde (wie oben gezeigt).

  • Extrahieren Sie in Ihrem unterstützten Webbrowser das Azure DevOps Server Stammzertifikat als Base64-codierte X.509 CER/PEM-Datei.

  • Erstellen Sie eine private Kopie des Git-Stammzertifikatsspeichers, und fügen Sie diese der privaten Benutzerkopie des Speichers hinzu.