演练：设置带有安全套接字层 (SSL) 的 Team Foundation Server

Visual Studio Team System

下面的演练描述的过程涉及请求、颁发和分配用于安全套接字层 (SSL) 连接的证书。在客户端和 Team Foundation Server 的服务器部分之间启用安全套接字层 (SSL) 连接可提高 Team Foundation Server 的安全性。

在本演练中，您将完成以下任务：

1. 为 Team Foundation Server 网站创建证书请求。

2. 发出证书请求并创建二进制证书文件。

3. 安装并分配证书。

4. 在客户端计算机上安装证书。

5. 测试证书。

注意
本演练中的过程不要求客户端在连接到 Team Foundation Server 时仅使用 HTTPS 和 SSL。有关如何将连接限制为仅使用 HTTPS 和 SSL 的更多信息，请参见如何：将 Team Foundation Server 配置为仅使用 HTTPS 和 SSL。

要点
如果您安装了 Team Foundation Server 的 Service Pack 1 (SP1)，则可以利用该 Service Pack 提供的对基本身份验证和摘要式身份验证的支持。有关更多信息，请参见 Team Foundation Server、基本身份验证和摘要式身份验证。

 先决条件

若要完成本演练：

• 必须安装 Team Foundation Server 的数据层和应用层部分。有关更多信息，请参见《Team Foundation 安装指南》。可以从 Microsoft 下载中心 (http://go.microsoft.com/fwlink/?linkid=40042) 下载最新版《Team Foundation 安装指南》。

• 必须具备可颁发证书的证书颁发机构 (CA)。本演练假设您使用 Microsoft 证书服务作为 CA。如果没有证书颁发机构，您可以安装 Microsoft 证书服务并配置一个证书颁发机构。有关更多信息，请参见 Microsoft 网站 (http://go.microsoft.com/fwlink/?LinkId=70929)。

 假设

本演练的假设如下：

• 已经在安全的环境中安装和部署了 Team Foundation 数据层服务器和 Team Foundation 应用层服务器，并根据安全最佳做法对这些服务器进行了配置。

• 配置带有 SSL 的 Team Foundation Server 的管理员熟悉公钥基础结构 (PKI) 和证书，也熟悉如何请求、颁发和分配证书。有关 PKI 和证书的更多信息，请参见 Microsoft 网站 (http://go.microsoft.com/fwlink/?LinkId=70930)。

• 该管理员熟悉 Internet 信息服务 (IIS)、Microsoft SQL Server 和网络设置的配置，并具备开发环境网络拓扑的操作知识。

 安全性

若要完成此过程，您必须是 Team Foundation 应用层和数据层服务器上的 Administrators 组的成员，以及 Team Foundation Administrators 组的成员。有关权限的更多信息，请参见 Team Foundation Server 权限。

安装 Microsoft 证书服务

本演练使用 Microsoft 证书服务作为证书颁发机构 (CA) 以颁发证书。为方便起见，在本演练中将证书服务安装在 Team Foundation 应用层服务器上。出于安全考虑，您在生产部署环境中部署证书服务时应考虑将根证书颁发机构隔离出来。从物理上将 CA 服务器隔离在只能由安全管理员访问的位置可以显著降低被篡改的风险。有关证书服务功能和最佳做法的更多信息，请参见 Microsoft 网站 (http://go.microsoft.com/fwlink/?LinkId=70929)。

警告
一旦安装了证书服务，就不可更改该计算机的名称或更改登记该计算机的域。如果更改了计算机名称或域，则从该证书颁发机构 (CA) 颁发的证书将无效。

安装证书服务

1. 单击“开始”，单击“控制面板”，然后选择“添加/删除程序”。

2. 单击“添加/删除 Windows 组件”。

3. 在“Windows 组件向导”中，在“组件”列表中单击“证书服务”。

4. 查看消息框中的文本，然后单击“是”。

5. 单击“下一步”开始安装。

6. 在“CA 类型”页上，选择“独立根 CA”，然后单击“下一步”。

7. 在“CA 识别信息”页上的“此 CA 的公用名称”中，键入计算机名称。

8. 在“有效期”中，将证书的持续时间更改为六 (6) 周，然后单击“下一步”。

9. 在“证书数据库设置”页上，不做任何更改单击“下一步”。

   此时出现消息框，指示必须停止 IIS。

10. 在消息框中单击“是”。

    出现“配置组件”页。

11. 如果出现消息框，并且其中含有关于 Active Server Page (ASP) 的信息，则单击“是”。

12. 单击“完成”。

 为 Team Foundation Server 网站创建证书请求

在应用层计算机上，您需要使用 Internet 信息服务 (IIS) 管理器为 Team Foundation Server 创建证书请求。

为 Team Foundation Server 网站创建证书请求

1. 依次单击“开始”、“管理工具”和“Internet 信息服务(IIS)管理器”。

2. 展开“计算机名称 (本地计算机)”，然后展开“网站”。

3. 右击“Team Foundation Server”，然后单击“属性”。

4. 在“Team Foundation Server 属性”中，单击“目录安全性”选项卡。

5. 在“安全通信”下，单击“服务器证书”。

   “Web 服务器证书向导”即出现。单击“下一步”。

6. 在“服务器证书”页上，单击“新建证书”，然后单击“下一步”。

7. 在“延迟或立即请求”页上，单击“下一步”。

8. 在“名称和安全性设置”页上，不做任何更改单击“下一步”。

9. 在“单位信息”页上，指定“单位”和“部门”值。例如，输入公司名称作为“单位”，输入团队或组的名称作为“部门”。单击“下一步”。

10. 在“站点公用名称”页上，不做任何更改单击“下一步”。

11. 在“地理信息”页上，在“国家(地区)”、“省/自治区”和“市县”框中指定相应的信息，然后单击“下一步”。

12. 在“证书请求文件名”页上的“文件名”下，指定您想保存证书请求文件的位置以及文件的名称，然后单击“下一步”。

    注意
    确保将证书请求文件保存在可从 CA 计算机访问到的网络共享或其他位置上。

13. 检查“请求文件摘要”页上所列出的信息，然后单击“下一步”。

14. 单击“完成”。

15. 单击“确定”退出“Team Foundation Server 属性”对话框。

 发出证书请求并创建二进制证书文件

创建证书请求之后，必须使 CA（本例中为 Microsoft 证书服务）颁发基于该请求的证书。创建证书之后，就可以将该证书分配到使用 IIS 的相应网站。

使用 Microsoft 证书服务发出证书请求

1. 单击“开始”，单击“管理工具”，然后单击“证书颁发机构”。

2. 在资源管理器窗格中右击计算机名称，选择“所有任务”，然后单击“提交一个新的申请”。

3. 在“打开申请文件”对话框中，找到您在前面的过程中创建的证书请求文本文件，然后单击“打开”。

4. 在资源管理器窗格中，展开计算机名称，然后单击“挂起的申请”。

5. 记下挂起的申请的“申请 ID”值。

6. 右击该申请，选择“所有任务”，然后单击“颁发”。

7. 在资源管理器窗口中的计算机名称之下，选择“颁发的证书”以查看列出的证书，并确认是否颁发了一个与您的申请的“申请 ID”值匹配的证书。

8. 在“颁发的证书”中，右击颁发的证书，选择“所有任务”，然后单击“导出二进制数据”。

9. 在“包含二进制数据的列”中，选择“二进制证书”。在“导出选项”下，选择“保存二进制数据到一个文件”，然后单击“确定”。

10. 在“保存二进制数据”中，将该文件保存到一个便携媒体设备上，或保存到一个可以由 Team Foundation 应用层计算机访问的网络共享位置。

11. 退出“证书颁发机构”。

 安装并分配证书

在可将 SSL 用于 Team Foundation Server 之前，必须在 Team Foundation Server 网站上安装服务器证书，然后在 Team Foundation Server 相关的网站上配置 HTTPS。这些相关网站包括下列网站：

• 默认网站

• SharePoint 中心管理

• 报表服务器

安装服务器证书

使用下面的过程在 Team Foundation Server 上安装服务器证书。

在 Team Foundation Server 网站上安装服务器证书

1. 在 Team Foundation 应用层服务器上，依次单击“开始”、“管理工具”和“Internet 信息服务(IIS)管理器”。

2. 展开“<计算机名称> (本地计算机)”，然后展开“网站”。

3. 右击“Team Foundation Server”，然后单击“属性”。

4. 在“Team Foundation Server 属性”中，单击“目录安全性”选项卡。

5. 在“安全通信”下，单击“服务器证书”。

   “Web 服务器证书向导”即出现。单击“下一步”。

6. 在“挂起的证书请求”页上，选择“处理挂起的请求并安装证书”，然后单击“下一步”。

7. 在“处理挂起的请求”页上，单击“浏览”。

8. 在“打开”对话框中的“文件类型”下，从下拉列表中选择“所有文件 (*.*)”，然后定位到您在前面的过程中保存二进制证书的目录。选择二进制证书文件，然后单击“打开”。

9. 在“处理挂起的请求”页上，单击“下一步”。

10. 在“SSL 端口”页上，接受默认值或输入新值，然后单击“下一步”。用于 SSL 连接的默认端口是 443。

    要点
    记录下您分配的 SSL 端口值。在接受默认值之前，请确保该端口当前没有被其他服务器证书使用。安装的每个服务器证书必须具有不同的 SSL 端口值。例如，如果默认端口 443 未在使用中，您为 Team Foundation Server 网站接受默认端口值 443，则您必须为默认网站以及 SharePoint 管理中心网站分配一个不同的端口值。

11. 检查“证书摘要”页上的信息，然后单击“下一步”。

12. 单击“完成”。

13. 在“目录安全性”选项卡上的“身份验证和访问控制”之下，单击“编辑”。

14. 在“身份验证方法”中，确保清除“启用匿名访问”框。在“用户访问需经过身份验证”中选择“集成 Windows 身份验证”和“Windows 域服务器的摘要式身份验证”。清除任何其他选项，然后单击“确定”。

    注意
    单击“Windows 域服务器的摘要式身份验证”之后，系统可能提示您确认所做的选择。阅读提示文本，然后单击“是”。

15. 单击“确定”关闭“Team Foundation Server 属性”对话框。

    注意
    如果在单击“确定”之后出现“继承覆盖”对话框，请单击“全选”，然后单击“确定”。

将证书分配到默认网站

按照以下步骤在 IIS 中设置默认网站上的 HTTPS。

设置默认网站上的 HTTPS 并要求使用 SSL

1. 在 Team Foundation 应用层服务器上，依次单击“开始”、“管理工具”和“Internet 信息服务(IIS)管理器”。

2. 展开“<计算机名称> (本地计算机)”，然后展开“网站”。

3. 右击“默认网站”，然后单击“属性”。

4. 在“默认网站属性”中，单击“目录安全性”选项卡。

5. 在“安全通信”下，单击“服务器证书”。

   “Web 服务器证书向导”即出现。单击“下一步”。

6. 在“服务器证书”页上，选择“分配现有证书”，然后单击“下一步”。

7. 在“可用证书”页上，选择“友好名称”值为“Team Foundation Server”的证书。您可能需要滚动才能看到列表中的“友好名称”列。单击“下一步”。

8. 在“SSL 端口”页上，接受默认值或输入新值，然后单击“下一步”。用于 SSL 连接的默认端口是 443。

   要点
   记录下 SSL 端口值。安装的每个服务器证书必须具有不同的 SSL 端口值。例如，如果您为 Team Foundation Server 网站接受默认端口值 443，则您必须为默认网站以及 SharePoint 管理中心网站分配一个不同的端口值。

9. 检查“证书摘要”页上的信息，然后单击“下一步”。

10. 单击“完成”。该向导将关闭。

11. 在“目录安全性”选项卡上的“安全通信”之下，单击“编辑”。

12. 在“安全通信”中，选择“要求安全通道(SSL)”。确保选中“忽略客户端证书”，然后单击“确定”。

13. 在“目录安全性”选项卡上的“身份验证和访问控制”之下，单击“编辑”。

14. 在“身份验证方法”中，确保清除“启用匿名访问”框。在“用户访问需经过身份验证”中选择“集成 Windows 身份验证”和“Windows 域服务器的摘要式身份验证”。清除任何其他选项，然后单击“确定”。

    注意
    单击“Windows 域服务器的摘要式身份验证”之后，系统可能提示您确认所做的选择。阅读提示文本，然后单击“是”。

15. 单击“确定”关闭“默认网站属性”对话框。

    注意
    如果在单击“确定”之后出现“继承覆盖”对话框，请单击“全选”，然后单击“确定”。

将证书分配到 SharePoint 中心管理

按照以下步骤为 SharePoint 管理中心设置 HTTPS。

为 SharePoint 管理中心设置 HTTPS 并要求使用 SSL

1. 在 Team Foundation 应用层服务器上，依次单击“开始”、“管理工具”和“Internet 信息服务(IIS)管理器”。

2. 展开“<计算机名称> (本地计算机)”，然后展开“网站”。

3. 右击“SharePoint 中心管理”，然后单击“属性”。

4. 在“SharePoint 中心管理属性”中，单击“目录安全性”选项卡。

5. 在“安全通信”下，单击“服务器证书”。

   “Web 服务器证书向导”即出现。单击“下一步”。

6. 在“服务器证书”页上，选择“分配现有证书”，然后单击“下一步”。

7. 在“可用证书”页上，选择“友好名称”值为“Team Foundation Server”的证书。您可能需要滚动才能看到列表中的“友好名称”列。

8. 单击“下一步”。

9. 在“SSL 端口”页上，接受默认值或输入新值，然后单击“下一步”。用于 SSL 连接的默认端口是 443。

   要点
   记录下 SSL 端口值。安装的每个服务器证书必须具有不同的 SSL 端口值。例如，如果您为 Team Foundation Server 网站接受默认端口值 443，则您必须为默认网站以及 SharePoint 管理中心网站分配一个不同的端口值。

   注意
   记录下这个端口值，因为您需要使用该端口值为 SQL Report Server 分配证书。

10. 检查“证书摘要”页上的信息，然后单击“下一步”。

11. 单击“完成”。

12. 在“目录安全性”选项卡上的“安全通信”之下，单击“编辑”。

13. 在“安全通信”中，选择“要求安全通道(SSL)”。确保选中“忽略客户端证书”，然后单击“确定”。

14. 单击“确定”关闭“SharePoint 管理中心属性”对话框。

配置防火墙以允许 SSL 通信

您必须对防火墙进行配置，以允许通过您在 IIS 中为默认网站、Team Foundation Server 网站和 SharePoint 管理中心网站指定的 SSL 端口进行通信。

注意
配置防火墙允许 SSL 通信的过程因您的部署环境中使用的防火墙软件和硬件而异。

配置防火墙以允许 Team Foundation Server 所用 SSL 端口上的网络通信

• 请参见您的防火墙产品的文档，以了解允许通过您为默认网站、Team Foundation Server 网站和 SharePoint 管理中心网站指定的 SSL 端口进行通信所需的操作步骤。

更新 Web.Config 文件以允许电子邮件通知

如果您配置了自动电子邮件通知，请按照以下步骤修改 Web.Config 文件，以允许这些通知起作用。

注意
如果您不在 Team Foundation Server 部署中使用电子邮件通知，可以跳过此过程。

修改 Web.Config 文件以启用电子邮件通知

1. 在 Team Foundation 应用层服务器上，打开一个浏览器并打开“驱动器:\Program Files\Microsoft Visual Studio 2005 Team Foundation Server\Web Services”目录。

2. 右击 Web.Config 文件，然后单击“编辑”。如有必要，选择用于修改该文件的编辑器。

3. 在 Web.Config 文件中搜索 TFSUrlPublic 元素。取消对该元素的注释，并为您的部署配置适当的值。例如，如果您的公司网站是 www.contoso.com，并且您的部署为 HTTP 代理使用标准端口，则应如下所示配置该项：

   <add key="TFSURLPublic" value=https://www.contoso.com:8081"/>

4. 保存该文件并关闭文件编辑器。

更新 SQL Report Server 的注册表项

按照以下步骤更新 SQL Report Server 的注册表，以使报告正确显示在团队项目门户网站上。

警告
错误地编辑注册表可能会严重损害系统。在更改注册表之前，应当备份计算机上的所有重要数据。

更新 SQL Report Server 的注册表项

1. 在 Team Foundation 应用层服务器上，单击“开始”，单击“运行”，键入 regedit，然后单击“确定”。注册表编辑器随即打开。

2. 在注册表编辑器中，依次展开“HKEY_LOCAL_MACHINE”、“Software”、“Microsoft”、“Visual Studio”、“8.0”、“Team Foundation”，然后单击“ReportServer”。

3. 右击“项”，然后单击“修改”。

4. 在“编辑字符串”对话框中的“数值数据”中，更改该数值以反映 Team Foundation 应用层服务器的 https 地址，然后单击“确定”。例如，如果您的应用层服务器的名称是 Contoso1，应将该数据的值从：

   http://Contoso1

   改为

   https://Contoso1

5. 关闭注册表编辑器。

更新 SQL Server Management Studio

按照以下步骤进行操作，用 Windows SharePoint Services 和 Reporting Services 网站的 https URL 值更新 SQL Server Management Studio。

更新 SQL Server Management Studio

1. 在 Team Foundation 数据层服务器上，打开 SQL Server Management Studio。若要打开 SQL Server Management Studio，请依次单击“开始”、“所有程序”、“Microsoft SQL Server 2005”、“SQL Server Management Studio”。

2. 在“连接到服务器”对话框中，选择“服务器的数据库引擎”类型。为服务器选择适当的服务器名称和身份验证方案。如果安装的 SQL Server 要求提供用户名和密码，则请提供有效的用户名和密码，然后单击“连接”。

3. 在对象资源管理器中，依次展开“数据库”、“TfsIntegration”、“表”。

4. 在“表”中，右击 tbl_service_interface，然后单击“打开表”。

   将打开表 dbo.tbl_service_interface 供编辑。

5. 在该表中，在“名称”下面找到 ReportsService。编辑 url 的条目，使之匹配 Reporting Services 的新的 https 值。请务必包含您在 IIS 中为默认网站的 SSL 端口指定的值。例如，如果您在 IIS 中为默认网站 SSL 端口值指定了端口 1443，并且您的应用层服务器的名称是 Contoso1，则应按照如下所示修改该值：

   https://Contoso1:1443/ReportsService.asmx

6. 在该表中，在“名称”下面找到 BaseReportsUrl。编辑 url 的条目，使之匹配团队报告的新的 https 值。请务必包含您在 IIS 中为默认网站的 SSL 端口指定的值。例如，如果您在 IIS 中为默认网站 SSL 端口值指定了端口 1443，并且您的应用层服务器的名称是 Contoso1，则应按照如下所示修改该值：

   https://Contoso1:1443/Reports

7. 在该表中，在“名称”下面找到 WSSAdminService。编辑 url 的条目，使之匹配 Windows SharePoint Services 的新的 https 值。请务必包含您在 IIS 中为 SharePoint 管理中心网站的 SSL 端口指定的值。例如，如果您在 IIS 中为 SharePoint 管理中心网站 SSL 端口值指定了端口 2443，并且您的应用层服务器的名称是 Contoso1，则应按照如下所示修改该值：

   https://Contoso1:2443/_vti_adm/admin.asmx

8. 在该表中，在“名称”下面找到 BaseServerUrl。编辑 url 的条目，使之匹配 Team Foundation 应用层服务器的默认网站的新 https 值。请务必包含您在 IIS 中为默认网站的 SSL 端口指定的值。例如，如果您在 IIS 中为默认网站 SSL 端口值指定了端口 1443，并且您的应用层服务器的名称是 Contoso1，则应按照如下所示修改该值：

   https://Contoso1:1443

9. 在该表中，在“名称”下面找到 BaseSiteUrl。编辑 url 的条目，使之匹配 Team Foundation 应用层服务器的默认网站的新 https 值。请务必包含您在 IIS 中为默认网站的 SSL 端口指定的值。例如，如果您在 IIS 中为默认网站 SSL 端口值指定了端口 1443，并且您的应用层服务器的名称是 Contoso1，则应按照如下所示修改该值：

   https://Contoso1:1443/sites

10. 在该表中，在“名称”下面找到 DataSourceServer。编辑 url 的条目，使之匹配 Team Foundation 应用层服务器的默认网站的新 https 值。请务必包含您在 IIS 中为默认网站的 SSL 端口指定的值。例如，如果您在 IIS 中为默认网站 SSL 端口值指定了端口 1443，并且您的应用层服务器的名称是 Contoso1，则应按照如下所示修改该值：

    https://Contoso1:1443/ReportServer

11. 在“文件”菜单上单击“全部保存”。

12. 关闭 SQL Server Manager。

 为 SSL 连接配置 Reporting Services

按照以下步骤配置 Reporting Services 以要求使用 SSL。

为 SSL 连接配置 Report Server

1. 在 Team Foundation 应用层服务器上，依次单击“开始”、“程序”、“Microsoft SQL Server 2005”、“配置工具”、“Reporting Services 配置”。

2. 在“选择报表服务器安装实例”对话框中，确保计算机和示例名称正确无误，然后单击“连接”。

3. 在资源管理器窗格中，单击“报表服务器虚拟目录”。

4. 在“报表服务器虚拟目录设置”中，选择“要求安全套接字层(SSL)连接”。在“要求”中，选择“3 - 所有 SOAP API”。在“证书名称”中，键入 Team Foundation 应用层的名称，然后单击“应用”。

5. 关闭 Reporting Services 配置管理器。

 在生成服务器上安装证书

如果在一个或多个服务器上安装了 Build Services，则这些服务器都必须安装证书。

注意
为了通过 SSL 执行生成，必须在生成计算机上运行生成服务的帐户的受信任根存储区内，以及启动生成的计算机上的受信任根存储区内都安装该证书。

在生成服务器上安装证书

1. 使用生成服务器计算机上 Administrators 组的成员帐户登录到该计算机。

2. 打开一个浏览器，并打开以下网站，其中证书服务器 是证书服务器的名称，端口 是分配给证书颁发机构的 SSL 端口号：

   https:// 证书服务器 : 端口 /services/v1.0/serverstatus.asmx

3. 将出现一个显示安全消息的对话框。在“安全警报”上单击“查看证书”。

4. 在“证书”对话框中单击“证书路径”选项卡。

5. 在“证书路径”中单击证书颁发机构。证书颁发机构应当是证书层次机构的顶部节点，其名称旁边应有一个红色的 X。这表示该证书颁发机构不受信任，原因是它不在受信任根证书颁发机构存储区中。单击“查看证书”。

6. 在“证书”对话框中单击“安装证书”。

   “证书导入向导”打开。单击“下一步”。

7. 在“证书存储区”页上，选择“将所有的证书放入下列存储区”，然后单击“浏览”。

8. 在“选择证书存储区”中选择“显示物理存储区”。在“选择要使用的证书存储区”中，展开“受信任的根证书颁发机构”，选择“本地计算机”，然后单击“确定”。

9. 在“证书存储区”页上单击“下一步”。

10. 在“正在完成证书导入向导”页上，单击“完成”。

11. 可能显示一个“证书导入向导”对话框，确认导入成功。如果显示该对话框，请单击“确定”。

12. 在“证书”对话框中单击“确定”。顶层节点证书层次结构的“证书”对话框将关闭。

13. 在“证书”对话框中单击“确定”。从属证书的“证书”对话框将关闭。

14. 在“安全警报”上单击“否”。

15. 打开一个浏览器，并打开以下网站，其中证书服务器 是证书服务器的名称，端口 是分配给证书颁发机构的 SSL 端口号：

    https:// 证书服务器 : 端口 /services/v1.0/serverstatus.asmx

16. “ServerStatus Web 服务”页会打开。该页确认您已经正确安装证书和证书颁发机构。关闭浏览器。

 在 Team Foundation Server Proxy 计算机上安装证书

如果已经在一台或多台计算机上安装 Team Foundation Server Proxy，则这些计算机上都必须安装证书。

在 Team Foundation Server Proxy 计算机上安装证书

1. 使用 Team Foundation Server Proxy 服务器计算机上的 Administrators 组成员帐户登录该服务器。

2. 打开一个浏览器，并打开以下网站，其中证书服务器 是证书服务器的名称，端口 是分配给证书颁发机构的 SSL 端口号：

   https:// 证书服务器 : 端口 /services/v1.0/serverstatus.asmx

3. 将出现一个显示安全消息的对话框。在“安全警报”上单击“查看证书”。

4. 在“证书”对话框中单击“证书路径”选项卡。

5. 在“证书路径”中单击证书颁发机构。证书颁发机构应当是证书层次机构的顶部节点，其名称旁边应有一个红色的 X。这表示该证书颁发机构不受信任，原因是它不在受信任根证书颁发机构存储区中。单击“查看证书”。

6. 在“证书”对话框中单击“安装证书”。

   “证书导入向导”打开。单击“下一步”。

7. 在“证书存储区”页上，选择“将所有的证书放入下列存储区”，然后单击“浏览”。

8. 在“选择证书存储区”中选择“显示物理存储区”。在“选择要使用的证书存储区”中，展开“受信任的根证书颁发机构”，选择“本地计算机”，然后单击“确定”。

9. 在“证书存储区”页上单击“下一步”。

10. 在“正在完成证书导入向导”页上，单击“完成”。

11. 可能显示一个“证书导入向导”对话框，确认导入成功。如果显示该对话框，请单击“确定”。

12. 在“证书”对话框中单击“确定”。顶层节点证书层次结构的“证书”对话框将关闭。

13. 在“证书”对话框中单击“确定”。从属证书的“证书”对话框将关闭。

14. 在“安全警报”上单击“否”。

15. 打开一个浏览器，并打开以下网站，其中证书服务器 是证书服务器的名称，端口 是分配给证书颁发机构的 SSL 端口号：

    https:// 证书服务器 : 端口 /services/v1.0/serverstatus.asmx

16. “ServerStatus Web 服务”页会打开。该页确认您已经正确安装证书和证书颁发机构。关闭浏览器。

 在客户端计算机上安装证书

所有访问 Team Foundation Server 的客户端计算机都必须在本地安装证书。此外，如果客户端计算机以前访问过 Team Foundation Server 团队项目，则必须为所有使用该计算机连接 Team Foundation Server 的用户清除客户端缓存，然后用户才能连接 Team Foundation Server。

要点
安装在 Team Foundation Server 自身的 Team Foundation 客户端不用执行此过程。

在 Team Foundation 客户端计算机上安装证书

1. 使用 Team Foundation 客户端计算机上的“Administrators”组成员帐户登录该计算机。

2. 打开一个浏览器，并打开以下网站，其中证书服务器 是证书服务器的名称，端口 是分配给证书颁发机构的 SSL 端口号：

   https:// 证书服务器 : 端口 /services/v1.0/serverstatus.asmx

3. 将出现一个显示安全消息的对话框。在“安全警报”上单击“查看证书”。

4. 在“证书”对话框中单击“证书路径”选项卡。

5. 在“证书路径”中单击证书颁发机构。证书颁发机构应当是证书层次机构的顶部节点，其名称旁边应有一个红色的 X。这表示该证书颁发机构不受信任，原因是它不在受信任根证书颁发机构存储区中。单击“查看证书”。

6. 在“证书”对话框中单击“安装证书”。

   “证书导入向导”打开。单击“下一步”。

7. 在“证书存储区”页上，选择“将所有的证书放入下列存储区”，然后单击“浏览”。

8. 在“选择证书存储区”中选择“显示物理存储区”。在“选择要使用的证书存储区”中，展开“受信任的根证书颁发机构”，选择“本地计算机”，然后单击“确定”。

9. 在“证书存储区”页上单击“下一步”。

10. 在“正在完成证书导入向导”页上，单击“完成”。

11. 可能显示一个“证书导入向导”对话框，确认导入成功。如果显示该对话框，请单击“确定”。

12. 在“证书”对话框中单击“确定”。顶层节点证书层次结构的“证书”对话框将关闭。

13. 在“证书”对话框中单击“确定”。从属证书的“证书”对话框将关闭。

14. 在“安全警报”上单击“否”。

15. 打开一个浏览器，并打开以下网站，其中证书服务器 是证书服务器的名称，端口 是分配给证书颁发机构的 SSL 端口号：

    https:// 证书服务器 : 端口 /services/v1.0/serverstatus.asmx

16. “ServerStatus Web 服务”页会打开。该页确认您已经正确安装证书和证书颁发机构。关闭浏览器。

清除 Team Foundation 客户端计算机的缓存

1. 使用要更新的用户的用户凭据登录 Team Foundation 客户端计算机。

2. 在 Team Foundation 客户端计算机上，关闭所有打开的 Visual Studio 实例。

3. 打开浏览器，并打开下面的文件夹：

   驱动器 :\Documents and Settings\ 用户名 \Local Settings\Application Data\Microsoft\Team Foundation\1.0\Cache

4. 删除 Cache 目录的内容。确保删除所有子文件夹。

5. 单击“开始”，单击“运行”，键入 devenv /resetuserdata，然后单击“确定”。

6. 对计算机上所有访问 Team Foundation Server 的用户帐户重复以上步骤。

   注意
   您可以考虑提供缓存清除指导，使您的所有 Team Foundation Server 用户能够自己清除缓存。

 请参见

概念

Team Foundation Server、HTTPS 和安全套接字层 (SSL)

其他资源

Team Foundation 管理演练
使用 HTTPS 和安全套接字层 (SSL) 保护 Team Foundation Server