爲Azure DevOps Server （TFS） 配置安全訪問（HTTPS with SSL）

Contents
1. 概述
2. HTTP和HTTS比較
支持HTTP和HTTPS兩種方式
要求全部鏈接使用HTTPS
優勢：
缺點：
3. 爲Azure DevOps Server 配置安全訪問

1. 概述

Azure DevOps Server (TFS）支持默認的超文本傳輸協議（HTTP），也支持安全的超文本傳輸協議（HTTPS）。將TFS服務器服務器配置爲安全訪問（https/SSL），能夠大幅加強其部署的安全性和數據傳輸的安全性。在系統部署過程當中，TFS默認選擇HTTP部署方式；若是在使用一段時間以後配置爲HTTPS訪問方式，則還須要開發人員作響應的調整。本文介紹如何在Azure DevOps Server中配置SSL,以及配置完成後對用戶的影響。
在調整系統配置以前，最好了解和評估兩種部署的優劣，以便作出最好的選擇。

2. HTTP和HTTS比較

支持HTTP和HTTPS兩種方式

若是將azure devops服務器的配置爲支持這兩種協議，則那些使用新的HTTPS鏈接TFS的客戶端計算機變得更加安全。此外，那些使用HTTP鏈接服務器的客戶端計算機任然可使用，不須要作任何調整。
即便將服務器配置爲兩種協議，在通常狀況下，咱們不會將TFS經過HTTP的方式發佈到公網上，只會在一個可控的內網網絡環境中發佈HTTP協議。
支持兩種協議的配置方式，比較適合與在當前使用HTTP協議的基礎上，新增HTTPS協議，這樣既不影響當前的用戶，又能夠增強新增用戶的訪問安全性；隨時時間的推移，咱們能夠階段性的逐步條件老用戶的的鏈接方式，從而最低限度的下降系統變動對用戶形成的影響。
這種配置方式，比較常見的應用場景是，內網用戶使用HTTP訪問TFS，公網用戶使用HTTPS訪問TFS；這樣，咱們能夠同時兼顧安全性、便捷性和效率幾個方面的考慮。

要求全部鏈接使用HTTPS

優勢：

若是咱們要求全部開發團隊都是用HTTPS的方式鏈接TFS系統，明顯能夠得到兩個優點：

• 安全的數據傳輸。用戶和服務器之間的所有數據傳輸都是加密的。
• 能夠經過控制SSL證書的過時的方式，達到控制服務失效的目標。

缺點：

固然，缺陷也很是明顯：

• 傳輸速度慢。咱們知道，使用SSL加密方式傳輸數據，須要在常規傳輸的基礎上增長加密和解密的過程，這是須要消耗系統資源和時間的，必然會形成傳輸速度的下降。系統響應速度下降，不只體現用戶鏈接服務器下載代碼、修改工做項、自動化的流水線執行上，還會反映在運維、系統升級等維護性的工做上。
• 須要維護證書。基於SSL的Web應用，都須要獲取來自簽發機構的SSL證書。若是是證書來自自有證書籤發機構，則會影響用戶信任。同時，維護證書籤發機構，也必然會提升系統運行的維護成本。固然，若是證書來自第三方機構，則須要爲此額外付費。

在評估軟件維護成本和效率以後，用戶天然會選擇適合本身的部署方式。

3. 爲Azure DevOps Server 配置安全訪問

爲Azure DevOps Server 配置安全訪問，只要包含三個過程：

• 從簽發機構獲取證書
• 安裝和分配證書
• 配置TFS服務器的公共URL
• 調整客戶端配置
• 調整代理配置

下面來簡要介紹TFS系統相關步驟的操做：
使用TFS系統管理員（也是操做系統管理員）的身份登陸TFS應用服務器，配置IIS中的證書。

1. 導入證書


注意，若是證書有密碼，則須要輸入證書的訪問密碼

2. 爲TFS服務器綁定證書

綁定成功之後的效果：

3. 修改公共URL

若是取消了HTTP協議，還須要開發人員調整本身的Git配置。這裏主要涉及Git遠程分支的操做，會在後續的博客中詳細介紹

------------------------------------------------------------

http://www.cnblogs.com/danzhang/  DevOps MVP 張洪君

------------------------------------------------------------