Настройка HTTPS с SSL (SSL) для локальной службы Azure DevOps

Azure DevOps Server 2020 | Azure DevOps Server 2019 | TFS 2018 — TFS 2013

Примечание

Предложение Azure DevOps Server раньше называлось Visual Studio Team Foundation Server.

Можно усилить безопасность развертывания Azure DevOps Server, настроив его на использование протокола HTTPS с SSL (SSL). Можно настроить требование этого протокола, чтобы обеспечить максимальную безопасность развертывания, или поддержку HTTPS с SSL в дополнение к протоколу по умолчанию, HTTP. При использовании Release Management для Visual Studio 2013 этот компонент также можно настроить для использования HTTPS с SSL, однако конфигурация с поддержкой HTTP и HTTPS с SSL для него недоступна.

Перед выбором конфигурации изучите преимущества и недостатки, описанные ниже. Определив конфигурацию, максимально соответствующую потребностям организации в области безопасности, выполните описанные в данном разделе шаги по настройке развертывания.

В этом разделе

Преимущества поддержки HTTPS с SSL в дополнение к HTTP

Если вы настроили развертывание Azure DevOps Server для поддержки обоих протоколов, пользователи, компьютеры которых настроены для использования протокола HTTPS с SSL, будут подключаться с помощью этого протокола, что сделает развертывание более безопасным. Кроме того, пользователи, чьи компьютеры настроены на поддержку только протокола HTTP, по-прежнему могут подключаться к развернутой системе. Хотя подобная конфигурация не подходит для общедоступных сетей, продолжая поддерживать HTTP-подключения в контролируемой сетевой среде, вы получаете следующие преимущества:

  • Со временем можно повысить безопасность развертывания, настраивая клиентские компьютеры на поддержку HTTPS с SSL в удобном темпе. Поэтапный подход устраняет необходимость одновременного обновления всех компьютеров, а пользователи, чьи компьютеры еще не были обновлены, могут по-прежнему подключаться к развернутой системе.

  • Вы можете легко настраивать и обслуживать Azure DevOps Server.

  • Вызовы одной веб-службы другой быстрее пересылаются по протоколу HTTP, чем по протоколу HTTPS с SSL. Следовательно, на клиентских компьютерах, на которых производительность важнее безопасности, можно продолжать поддерживать подключения HTTP.

Преимущества требования HTTPS с SSL для всех подключений

Требование протокола HTTPS с SSL для всех подключений обеспечивает следующие преимущества:

  • Все веб-подключения между уровнем приложения, уровнем данных и клиентским уровнем для Azure DevOps более безопасны, так как им требуются сертификаты.

  • Этот подход облегчает контроль доступа, потому что можно настроить истечение срока действия сертификатов в соответствии с ожидаемой датой окончания фазы проекта.

Недостатки поддержки или требования HTTPS с SSL

Перед настройкой Azure DevOps Server для поддержки или обязательного использования HTTPS с SSL следует учитывать следующие недостатки.

  • Возможно, усложнятся текущие административные задачи. Например, возможно, придется изменить конфигурацию развернутой системы, прекратив поддержку HTTPS с SSL перед применением пакетов обновлений или других обновлений.

  • Необходимо не только настраивать центры сертификации и доверия сертификатов, но и управлять ими. Службы сертификации можно использовать в Windows Server 2003 и Windows Server 2008, но может быть нежелательно вкладывать время и ресурсы, необходимые для развертывания инфраструктуры защищенных открытых ключей (PKI).

  • Необходимо тратить много времени на настройку и тестирование любой из этих конфигураций, что усложняет устранение неполадок в развертывании.

  • Если вы продолжаете поддерживать оба протокола, внешние подключения могут не шифроваться, если уровень приложения для Azure DevOps не защищен надлежащим образом.

  • Требование HTTPS с SSL ухудшает производительность развертывания.

Настройка развертывания для поддержки или требования HTTPS с SSL (необязательно)

Процедуры, описанные в этом разделе, описывают один процесс запроса, выдачи и назначения сертификатов, необходимых для SSL-соединений в Azure DevOps Server. Если используются отличные от описанных в данном разделе решения, возможно, потребуется выполнить другие шаги. Для поддержки внешних подключений к развертыванию Azure DevOps Server необходимо также включить обычную проверку подлинности, дайджест-проверку подлинности или и то, и другое в службы IIS (IIS).

В данном разделе приводятся инструкции по решению следующих задач:

  1. Получите сертификаты для развертывания Azure DevOps Server и веб-сайтов, которые он использует.

  2. Установка и назначение сертификатов.

  3. Настройте Azure DevOps Server.

  4. Настройка Team Foundation Build.

  5. Настройка Release Management для Visual Studio 2013

  6. Настройка клиентских компьютеров.

Предварительные условия

Для выполнения описанных в этом разделе процедур необходимо удовлетворить следующие требования:

  • Логические компоненты на уровнях данных и приложений Azure DevOps должны быть установлены, хотя в случае Azure DevOps Server само по себе, не обязательно настроено. Эти уровни включают в себя IIS, SQL Server и любые дополнительные компоненты, которые могут быть интегрированы, например продукты SharePoint, Team Foundation Build, Release Management и SQL Server Reporting Services.

    Процедуры, описанные в этом разделе, относятся к серверу или серверам, на которых выполняются логические компоненты, в приложениях и уровнях данных для Azure DevOps. Приложения и уровни данных могут работать на одном и том же сервере или на нескольких серверах, как описано в разделе Azure DevOps Server установки.

  • Необходимо наличие центра сертификации (CA), который может выдавать сертификаты, или подписки на сторонний центр сертификации в цепи доверия. В данном разделе имеется в виду, что в качестве центра сертификации используются службы сертификации, но на практике можно использовать любой центр сертификации, настроенный для имеющегося развертывания, а также сертификаты, выданные доверенным сторонним центром сертификации. При отсутствии центра сертификации можно установить и настроить службы сертификации. Дополнительные сведения см. в одном из следующих документов на веб-сайте Майкрософт:

  • Чтобы настраивать поддержку HTTPS и SSL во всех компонентах развертывания, необходимо быть администратором. При работе в распределенном развертывании, где права администраторов отдельных компонентов, например SharePoint, находятся у разных людей необходимо координироваться с этими людьми для завершения настройки.

  • В частности, необходимо принадлежать к группе Администраторы Team Foundation , и вы должны принадлежать к группе Администраторы на уровне приложений, уровне данных и прокси-сервере Azure DevOps или серверах для Team Foundation.

  • Чтобы настроить сервер сборки, необходимо быть членом группы администраторов на этом сервере.

  • Чтобы настроить Release Management, необходимо принадлежать к группе администраторов на сервере, на котором размещается Release Management Server, и быть членом роли диспетчера выпусков в Release Management.

  • Если в развертывании используются продукты SharePoint, необходимо быть членом группы администраторов на сервере, на котором размещается центр администрирования SharePoint. Кроме того, необходимо быть членом группы администраторов фермы .

  • Если в развертывании используются отчеты, необходимо быть членом группы безопасности администрирования или иметь эквивалентные разрешения, отдельно заданные для настройки служб отчетов.

    Дополнительные сведения о разрешениях см. в справочнике по разрешениям для Azure DevOps Server.

Допущения

Процедуры в данном разделе описаны исходя из того, что соблюдаются следующие условия:

  • Сервер или серверы уровня данных и уровня приложений установлены и развернуты в безопасной среде и настроены в соответствии с рекомендациями безопасности.

  • Компонент Release Management для Visual Studio 2013 установлен.

  • Пользователь знаком с настройкой инфраструктуры открытого ключа и управлением этой инфраструктурой, а также с процедурами запроса, выпуска и назначения сертификатов.

  • У вас есть опыт работы с топологией сети среды разработки, и вы знакомы с настройкой параметров сети, IIS и SQL Server.

Получение сертификата

Перед настройкой Azure DevOps Server для использования HTTPS с SSL необходимо получить и установить сертификат сервера для серверов в развертывании. Чтобы получить сертификат сервера, необходимо установить и настроить собственный центр сертификации или использовать центр сертификации из доверенной внешней организации (сторонние сертификаты).

Дополнительные сведения об установке центра сертификации см. в следующих разделах на веб-сайте Майкрософт:

Запрос, установка и настройка веб-сайтов с использованием сертификата

После регистрации в списке центра сертификации необходимо либо запросить сертификат с помощью диспетчера служб IIS, либо вручную установить сертификат на каждом из следующих серверов развертывания:

  • Каждый сервер уровня приложений.

  • Каждый сервер, на котором выполняется прокси-сервер Azure DevOps, если он настроен для развертывания.

  • Каждый сервер, на котором выполняется служба сборок Team Foundation, в качестве контроллера сборки или агента сборки, если таковые имеются для развертывания.

  • Каждый сервер, на котором выполняется Release Management Server, или любой сервер¹ в среде выпуска, на котором выполняется агент развертывания, если Release Management является частью развертывания.

  • Каждый сервер, на котором выполняются продукты SharePoint, если для развертывания настроены продукты SharePoint.

    Примечание

    Настройка сайта SharePoint для использования протокола HTTPS и сертификатов часто требует дополнительных действий, таких как Настройка сопоставления альтернативного доступа и Настройка инфраструктуры проверки подлинности. Дополнительные сведения см. в последней документации SharePoint для версии вашего продукта.

  • Сервер под управлением служб отчетов, если таковой настроен для развертывания.

Кроме того, клиентских компьютерах в развертывании должна быть зарегистрированы в цепи сертификатов и запрашивать необходимый сертификат. Если используется Release Management, к ним относятся все компьютеры, на которых выполняется клиент Release Management, а также все компьютеры¹ в средах выпуска, на который выполняется агент развертывания. Если один или несколько проектов используют Git в качестве системы управления версиями, то пользователи в этих проектах также должны настроить Git на своих компьютерах для распознавания и использовать сертификата клиента. Сведения о том, как запросить сертификат клиента в указанном центре сертификации, см. в документации этого центра сертификации.

¹ клиенты и серверы выделены здесь отдельно, но это просто соглашение для этого документа. На всех компьютерах, на которых выполняется агент развертывания, должны быть установлены сертификаты.

  1. Откройте диспетчер служб IIS.

  2. Разверните свой сервер, перейдите к разделу Сертификаты сервера, а затем создайте и завершите запрос на сертификат.

    Откройте диспетчер IIS и запросите сертификат

    Создание запроса и последующее выполнение его

    Дополнительные сведения см. в разделе Настройка сертификатов сервера в службах IIS.

  3. Импортируйте сертификат.

  4. Теперь необходимо настроить соответствующие параметры для каждого веб-сайта, который требует наличия этого сертификата (за исключением веб-сайта Release Management, который вы настроите позже). В частности это необходимо сделать для каждого из следующих веб-сайтов.

    • Веб-сайт по умолчанию

    • Azure DevOps Server

    • Azure DevOps Server прокси-сервер (если он используется в развертывании)

    • Центр администрирования SharePoint (если в развертывании используется SharePoint).

    На каждом сервере, на котором размещается веб-сайт, который требуется настроить, откройте диспетчер службы IIS (IIS).

  5. Разверните узел ComputerName, разверните узел сайты, откройте подменю для веб-сайта, который требуется настроить (например, Azure DevOps Server), а затем выберите привязки на панели действия.

    Необходимо настроить привязки для всех сайтов

  6. В окне привязки сайта выберите Добавить.

    Откроется диалоговое окно Добавление привязки сайта.

  7. В списке тип выберите HTTPS.

    В окне порт введите другой номер порта.

    Важно!

    По умолчанию для SSL-соединений используется номер порта 443, но необходимо назначить уникальный номер порта для каждого из следующих сайтов: веб-сайт по умолчанию, Azure DevOps Server, Azure DevOps Server прокси-сервер (если используется в развертывании) и центр администрирования SharePoint (если развертывание использует SharePoint).

    Для каждого настраиваемого веб-сайта необходимо записать номер порта SSL. Эти номера потребуется указать в консоли администрирования для Azure DevOps.

    В поле SSL-сертификат выберите импортированный сертификат, а затем нажмите кнопку ОК и закройте страницу привязки.

    Обеспечьте выбор уникального номера порта

  8. На домашней странице настраиваемого веб-сайта откройте представление " функции ".

  9. В разделе IIS выберите Проверка подлинности.

  10. Выберите метод аутентификации, который требуется настроить, откройте его меню, а затем включите, отключите или выполните дополнительную настройку метода в соответствии со своими требованиями к безопасности. Например, если требуется отключить анонимную аутентификацию, выберите метод «Анонимная аутентификация» и в меню действий выберите команду «Отключить».

    Выберите метод, а затем выполняемое действие

  11. После завершения настройки перезапустите веб-службы.

Настройка брандмауэра

Необходимо настроить брандмауэр так, чтобы разрешить прохождение трафика через только что заданные в IIS порты SSL. Дополнительные сведения см. в документации вашего брандмауэра.

Важно!

Не забудьте протестировать трафик через порты, настроенные с другого компьютера. Если вы не можете получить доступ к веб-сайту или веб-порталу по умолчанию, проверьте параметры порта, указанные для этих веб-сайтов в IIS, и убедитесь, что брандмауэр настроен таким образом, чтобы разрешить трафик на этих портах.

Настройка службы отчетов SQL Server

Если в развертывании используются отчеты, необходимо настроить SQL Server Reporting Services для поддержки протокола HTTPS с SSL и использования порта, указанного в службах IIS для Azure DevOps Server. В противном случае сервер отчетов не будет работать в развертывании надлежащим образом. Дополнительные сведения см. в статье Настройка сервера отчетов для подключений по протоколу SSL (SSL).

Совет

Если отчеты в развертывании не используются, эту процедуру можно пропустить.

Настройка HTTPS для Azure DevOps Server

Выполните следующие действия, чтобы настроить развертывание Azure DevOps Server с помощью портов HTTPS и значений, настроенных в IIS для веб-сайтов по умолчанию и Azure DevOps Server.

Перенастройка Azure DevOps Server на использование или требование HTTPS

  1. Откройте консоль администрирования для Azure DevOps и перейдите к узлу уровня приложения.

  2. В сводке уровня приложения выберите изменить URL-адреса.

    Откроется окно изменение URL-адресов .

  3. В поле URL-адрес уведомления введите URL-адрес HTTPS, настроенный для веб-сайта Azure DEVOPS Server в службах IIS.

    Например, веб-сайт был настроен на использование порта 444. В этом случае введите https://ServerName: 444/TFS. Убедитесь, что вместо имени localhost используется полное доменное имя сервера.

    Укажите в адресе HTTPS, сервер и порт

  4. Выберите тест. Не выбирайте ОК , если проверка не пройдена. Вернитесь и убедитесь, что указаны правильные URL-адреса и порты, что все межсетевые экраны пропускают трафик через эти порты и что сайт доступен и на нем запущен диспетчере IIS.

  5. Чтобы требовать использования протокола HTTPS, выберите использовать в поле URL-адрес сервера, а затем введите URL-адрес HTTPS, настроенный для веб-сайта Azure DevOps Server.

    Убедитесь, что вместо имени localhost используется полное доменное имя сервера.

  6. Выберите тест и нажмите кнопку ОК , если тест пройден.

  7. Если в развертывании используются продукты SharePoint, выберите веб-приложения SharePoint в консоли администрирования. В противном пропустите следующие шесть шагов.

  8. В веб-приложениях SharePoint в списке имя выберите веб-приложение и нажмите кнопку изменить.

    Откроется страница Параметры веб-приложения SharePoint .

  9. В поле URL-адрес приложения измените URL-адрес на значение HTTPS для приложения.

  10. В поле URL-адрес центра администрирования измените URL-адрес на значение HTTPS для веб-сайта центра администрирования.

  11. Используемых В поле понятное имя измените значение, чтобы оно отражало HTTPS Address этого приложения.

  12. Нажмите кнопку ОК.

  13. Повторите предыдущие пять шагов для каждого веб-приложения SharePoint в развертывании.

  14. Если в развертывании используется Reporting Services, в консоли администрирования выберите пункт отчеты. В противном пропустите оставшуюся часть этой процедуры.

  15. В окне " отчеты" выберите изменить.

    Если откроется диалоговое окно Отключение от сети , нажмите кнопку ОК.

    Откроется окно отчеты .

  16. Перейдите на вкладку отчеты . В поле URL-адреса для сервера отчетов введите URL-адреса HTTPS для Web Service и Диспетчер отчетов, а затем нажмите кнопку ОК.

Проверка доступа к развертыванию

Необходимо проверить, функционируют ли внесенные изменения надлежащим образом. Данный шаг не является обязательным, но его рекомендуется выполнить.

Проверка доступа к развертыванию

  1. На компьютере, на котором не размещено приложение, откройте веб-браузер и перейдите на домашнюю страницу команды.

  2. Проверьте, есть ли у вас доступ к командам и проектам с веб-портала, включая страницы администрирования.

  3. Если вы не можете получить доступ к развертыванию через веб-портал, просмотрите действия, которые вы только что выполнили, и убедитесь, что все изменения конфигурации внесены правильно.

Настройка развертывания на требование HTTPS с SSL (необязательно)

Чтобы использовать HTTPS с SSL, можно потребовать все подключения к Azure DevOps Server уровня приложения. Рекомендуется принять эту дополнительную меру обеспечения безопасности, однако она не является обязательной.

Требование подключений SSL

  1. На сервере, на котором размещен веб-сайт, который требуется настроить, нажмите кнопку Пуск, выберите пункт Администрирование, а затем выберите Диспетчер службы IIS (IIS).

  2. Выполните следующие шаги в зависимости от используемой версии IIS:

    Для развертываний с использованием IIS 7.0:

    1. Разверните узел ComputerName, разверните узел веб-сайты, а затем выберите веб-сайт, который требуется настроить.

    2. На домашней странице этого веб-сайта выберите Параметры SSL.

    3. В области Параметры SSL установите флажок требовать SSL .

      Используемых Установите флажок требовать 128-бит SSL .

    4. В поле сертификаты клиентов выберите игнорировать, принять или требовать, в зависимости от требований безопасности развертывания.

    5. В списке действия выберите Применить.

    6. Повторите эти шаги для каждого веб-сайта, для которого необходимо требовать SSL.

Установка сертификата на серверах построения

Если служба сборок Team Foundation установлена на одном или нескольких серверах, необходимо установить сертификат в хранилище доверенных корневых центров сертификации каждого сервера. Дополнительные сведения см. в разделах Получение сертификата и запрос, установка и Настройка веб-сайтов с сертификатом, приведенным ранее в этом разделе. И контроллер, и агент требуют сертификат с закрытым ключом, с которым они могли бы идентифицироваться в HTTPS-подключениях.

Примечание

Чтобы выполнять построения с использованием протокола SSL, сертификат должен быть установлен в доверенном корневом хранилище в контроллере построений и агенте построения.

Обновление конфигураций построения

Чтобы настроить сборку Team Foundation для подключений по протоколу SSL, необходимо настроить службу сборки на использование URL-адреса HTTPS, настроенного для уровня приложения, и коллекции, поддерживаемой конфигурацией сборки. Необходимо настроить данный URL-адрес для каждой конфигурации построения в развертывании.

Изменение конфигурации построения для использования HTTPS

  1. На сервере, на котором размещена конфигурация сборки, которую требуется настроить, откройте консоль администрирования для Team Foundation.

  2. В разделе Team Foundation разверните имя сервера и выберите Конфигурация сборки.

    Откроется область Конфигурация сборки .

  3. В разделе Конфигурация службы нажмите кнопку Закрыть, а затем выберите пункт свойства.

    Откроется диалоговое окно Свойства службы сборки .

  4. При обмене данными убедитесь, что URL-адрес коллекции проектов использует правильные адреса HTTPS и полное имя сервера.

  5. В окне Конечная точка локальной службы сборки (входящая) выберите изменить.

    Откроется диалоговое окно Конечная точка службы сборки .

  6. В области сведения о конечной точке убедитесь, что номер порта соответствует сведениям о конфигурации.

  7. В списке протокол выберите HTTPS.

  8. В списке SSL-сертификаты выберите сертификат, установленный и настроенный для использования с этим развертыванием, а затем нажмите кнопку ОК.

    Убедитесь, что данные конфигураций совпадают

  9. В диалоговом окне Свойства службы сборки нажмите кнопку запустить.

Release Management и Azure DevOps Server

Можно развернуть Release Management с протоколом HTTPS, полностью отделенным от Azure DevOps Server, независимо от протокола, используемого для Azure DevOps Server, или если вы используете Azure DevOps Server. Однако, если вы решили развернуть Release Management, инструкции по созданию безопасного развертывания для Release Management очень похожи на то, что можно настроить для Azure DevOps Server. Основное различие процедур заключается в привязке протокола HTTPS к веб-сайту Release Management (рассматривается ниже).

Ниже приведен список задач для развертывания Release Management с HTTPS. Если вы настраиваете Release Management с Azure DevOps Server, пропустите все задачи, которые могли быть уже выполнены для Azure DevOps Server конфигурации.

  1. Получите сертификат. Дополнительные сведения см. в разделе Получение сертификата.

  2. Настройте Release Management Server для использования HTTPS. См. следующий раздел настройка Release Management Server для использования протокола HTTPS.

  3. Установите сертификат в доверенном корневом хранилище любого компьютера, на котором выполняется клиент Release Management Client или агент Microsoft Deployment Agent. Дополнительные сведения см. в разделе Настройка клиентских компьютеров ниже.

  4. Откройте все брандмауэры. После установки сертификатов откройте все порты, которые используются для трафика SSL. Дополнительные сведения см. в статье Настройка брандмауэра.

  5. тестирование. Веб-сайт для Release Management Server не поддерживает доступ с помощью браузера, поэтому, чтобы проверить его доступность, необходимо подключиться к нему с помощью клиента Release Management Client, выполнить подключение агентов в среде, а затем выполнить выпуск. Дополнительные сведения см. в разделе Создание всех Release Management подключений по протоколу HTTPS и управление выпуском.

Настройка Release Management Server для использования HTTPS

Release Management одновременно поддерживает только один протокол, HTTPS или HTTP. Используйте эту процедуру, чтобы привязать протокол HTTPS к веб-сайту Release Management.

  1. В Release Management Server выберите HTTPS, введите номер порта, который вы хотите использовать для трафика HTTPS в порте веб-службы, а затем нажмите кнопку Применить параметры.

    Настройка Release Management Server для HTTPS

  2. Откройте диспетчер служб IIS.

  3. Разверните узел ComputerName, разверните узел сайты, откройте подменю для веб-сайта Release Management и выберите привязки на панели действия.

  4. В окне привязки сайта выберите Добавить.

  5. В списке тип выберите HTTPS.

  6. В окне порт введите другой номер порта. Это временный номер порта, необходимый для выполнения настройки.

    Добавление временного порта

  7. В поле SSL-сертификат выберите сертификат, который будет использоваться, а затем нажмите кнопку ОК и закройте страницу привязки.

    На экран будет выведена исходная привязка HTTP и только что созданная привязка HTTPS.

  8. Выберите исходную привязку HTTP и нажмите кнопку Удалить.

  9. Выберите привязку HTTPS и нажмите кнопку изменить.

  10. Измените значение параметра порт с временного значения, добавленного на шаге 6, на номер порта, который использовался на Release Management сервере на шаге 1, а затем нажмите кнопку ОК и Закрыть.

    Изменение временного порта

    Привязка порта HTTPS на веб-сайте Release Management в службах IIS соответствует номеру порта, который вы изначально ввели в средстве настройки Release Management Server.

    Порт в IIS соответствует порту на сервере

Настройка HTTPS для всех подключений Release Management

После установки сертификатов на все компьютеры, на которых выполняются Release Management Client и Microsoft Deployment Agent, можно подключить их к Release Management Server по протоколу SSL. Если Azure DevOps Server использует HTTPS с SSL, необходимо настроить подключение Azure DevOps Server для использования протокола HTTPS.

В первый раз настроить Azure DevOps Server подключение? Вам потребуется выполнить некоторые дополнительные действия и настроить разрешения для учетной записи. Дополнительные сведения см. в разделе Connect Release Management to Azure DevOps Server

Подключение клиента Release Management Client к Release Management Server с помощью протокола HTTPS

  1. Запустите Release Management Client.

    Совет

    Если появится сообщение об ошибке, уведомляющее, что у вас больше нет доступа к серверу, можно переустановить клиент Release Management Client или воспользоваться программой командной строки, чтобы указать клиенту на сервер, используя новый порт и протокол. Дополнительные сведения см. в этой записи блога.

  2. Выберите Администрирование, а затем щелкните Параметры.

  3. В Release Management URL-адрес сервера выберите изменить.

  4. В диалоговом окне Настройка служб выберите HTTPS и введите полное доменное имя и порт SSL сервера Release Management, а затем нажмите кнопку ОК. Вам будет предложено перезапустить приложение.

Подключение клиента при помощи HTTPS/SSL

Подключение агента Microsoft Deployment Agent к Release Management Server с помощью протокола HTTPS

  1. Запустите агент Microsoft Deployment Agent.

  2. В Release Management Server введите URL-адрес сервера Release Management и нажмите кнопку Применить параметры. Помните, что необходимо использовать протокол HTTPS, полное доменное имя для сервера и номер порта, настроенный в службах IIS.

Подключение агента при помощи HTTPS/SSL

Подключение сервера Release Management к Azure DevOps Server по протоколу HTTPS

  1. Запустите Release Management Client.

  2. Выберите Администрирование, а затем выберите Управление TFS.

  3. Измените протокол подключения на HTTPS, обновите порт (при необходимости) и нажмите кнопку проверить.

Подключение к Azure DevOps Server с помощью HTTPS/SSL

Настройка клиентских компьютеров

На каждом клиентском компьютере, с которого пользователи обращаются к Azure DevOps, необходимо установить сертификат локально и очистить кэш клиента для любого пользователя, который получил доступ к Azure DevOps с этого компьютера. В противном случае пользователи не смогут подключаться к Azure DevOps с этого компьютера. Дополнительные сведения см. в разделе Управление доверенными корневыми сертификатами.

Важно!

Не выполняйте эту процедуру для компьютеров, на которых работают как Azure DevOps Server, так и один или несколько клиентов Azure DevOps.

Установка сертификата на клиентском компьютере

  1. Войдите в систему на компьютере, используя учетную запись, которая принадлежит к группе администраторов на этом компьютере.

  2. Установите сертификат в папку «Доверенный корневой центр сертификации» на локальном компьютере.

Очистка кэша на клиентском компьютере

  1. Войдите на компьютер, используя учетные данные пользователя, для которого необходимо выполнить очистку кэша.

  2. Закройте все открытые экземпляры Visual Studio.

  3. В окне браузера откройте следующую папку:

    Диск : \ Пользователи \ имя_пользователя пользователь \ AppData \ локальный \ \ Кэш Microsoft Team Foundation \ 4,0 \

  4. Удалите содержимое каталога кэша. Убедитесь, что удалены все вложенные папки.

  5. Нажмите кнопку Пуск, выберите команду выполнить, введите команду devenv/ресетусердата и нажмите кнопку ОК.

  6. Повторите эти действия для учетной записи каждого пользователя, который получил доступ к Team Foundation с этого компьютера.

    Примечание

    Вам может потребоваться распределить инструкции по очистке кэша для всех пользователей Azure DevOps, чтобы они могли очищать кэши самостоятельно.

Подключение клиентских компьютеров к развертыванию с измененными настройками

Настройка Git

По умолчанию проекты, использующие Git для управления версиями, не смогут проверить SSL-сертификат, настроенный для Azure DevOps Server. Это связано с тем, что в отличие от Azure DevOps Server и Visual Studio, Git не распознает хранилище сертификатов Windows. Вместо этого данная система использует OpenSSL для своего хранилища сертификатов. Для использования репозитория Git для проектов, настроенных с SSL, необходимо настроить Git с сертификатом в корне цепочки сертификации развертывания TFS 2013. Это задача настройки клиента, которая применяется только к проектам репозитория Git.

Дополнительные сведения о работе сетевых операций Git в Visual Studio 2013 см. в этой записи блога.

Совет

Для других задач управления учетными данными Git, таких как проверка подлинности Windows, рассмотрите возможность скачивания и установки хранилища учетных данных Windows для Git.

Настройка хранилища сертификатов для Git

  • Войдите в систему на компьютере, используя учетную запись, которая принадлежит к группе администраторов на этом компьютере.

  • Убедитесь, что необходимый сертификат был установлен и настроен на компьютере, как было описано выше.

  • В поддерживаемом веб-браузере извлеките Azure DevOps Server корневой сертификат в виде файла CER/PEM X. 509 в кодировке Base64.

  • Создайте частную копию хранилища корневых сертификатов Git и добавьте в нее извлеченный сертификат.

Полное пошаговое руководство по этой процедуре, включая снимки экрана, см. в блоге по Филипп Келли.