Citrix Endpoint Management

APN-Zertifikate

Zum Registrieren und Verwalten von Apple-Geräten mit Citrix Endpoint Management müssen Sie ein Zertifikat von Apple für den Apple-Dienst für Push-Benachrichtigungen (Apple Push Notification service, APNs) einrichten. Das Zertifikat ermöglicht die Mobilgeräteverwaltung über das Apple Push-Netzwerk.

Workflowzusammenfassung:

Schritt 1: Erstellen einer Zertifikatsignieranforderung (CSR) mit einer der folgenden Methoden:

Schritt 2: Signieren der Zertifikatsignieranforderung in Citrix Endpoint Management Tools

Schritt 3: Übermitteln der signierten Zertifikatsignieranforderung an Apple für den Erhalt eines APNs-Zertifikats

Schritt 4: Abschluss der Zertifikatsignieranforderung und Exportieren einer PKCS#12-Datei auf demselben Computer, der für Schritt 1 verwendet wurde:

Schritt 5: Importieren eines APNs-Zertifikats in Citrix Endpoint Management

Schritt 6: Erneuern eines APNs-Zertifikats

Erstellen einer Zertifikatsignieranforderung

Es wird empfohlen, eine Zertifikatsignieranforderung (CSR) mit der Schlüsselbundverwaltung in macOS zu erstellen. Sie können eine CSR auch mit Microsoft IIS oder OpenSSL erstellen.

Wichtig:

  • Für die beim Erstellen des Zertifikats verwendete Apple-ID gilt:
    • The Apple ID must be a corporate ID and not a personal ID.
    • Record the Apple ID that you use to create the certificate.
    • To renew your certificate, use the same organization name and Apple ID. Using a different Apple ID to renew the certificate require device re-enrollment.
  • Wenn Sie ein Zertifikat aus Versehen oder absichtlich widerrufen, können Sie die Geräte nicht mehr verwalten.

  • Wenn Sie mit dem iOS Developer Enterprise Program ein Push-Zertifikat für die Mobilgeräteverwaltung erstellt haben, müssen Sie sämtliche Aktionen für die migrierten Zertifikate im Apple Push Certificates Portal ausführen.

Erstellen einer Zertifikatsignieranforderung mit der Schlüsselbundverwaltung in macOS

  1. Starten Sie auf einem Computer mit macOS unter Anwendungen > Dienstprogramme die Schlüsselbundverwaltung (Keychain Access).
  2. Klicken Sie im Menü Keychain Access auf Certificate Assistant > Request a Certificate From a Certificate Authority.
  3. Der Zertifikatassistent fordert Sie zur Eingabe folgender Informationen auf:
    • Email Address: E-Mail-Adresse des Benutzer- bzw. Rollenkontos, das zum Verwalten des Zertifikats verwendet wird.
    • Common Name: allgemeiner Name des Benutzer- bzw. Rollenkontos, das zum Verwalten des Zertifikats verwendet wird.
    • CA Email Address: E-Mail-Adresse der Zertifizierungsstelle.
  4. Wählen Sie Saved to disk und Let me specify key pair information und klicken Sie auf Continue.
  5. Geben Sie einen Namen für die CSR-Datei ein, speichern Sie die Datei auf Ihrem Computer und klicken Sie dann auf Save.
  6. Als Schlüsselpaarinformationen wählen Sie für Key Size den Wert “2048 bits” und unter RSA algorithm den RSA-Algorithmus aus. Klicken Sie dann auf Continue. Die CSR-Datei kann nun als Teil des APNs-Zertifikatverfahrens hochgeladen werden.
  7. Klicken Sie auf Done, wenn der Assistent den Prozess abgeschlossen hat.
  8. Als Nächstes signieren Sie die Zertifikatsignieranforderung.

Erstellen einer Zertifikatsignieranforderung mit Microsoft IIS

Der erste Schritt zum Generieren einer APNs-Zertifikatanforderung ist das Erstellen einer Zertifikatsignieranforderung (Certificate Signing Request, CSR). Generieren Sie die CSR für Windows mit Microsoft IIS.

  1. Öffnen Sie Microsoft IIS.
  2. Doppelklicken Sie auf das Serverzertifikatesymbol für IIS.
  3. Klicken Sie im Fenster Serverzertifikate auf Zertifikatanforderung erstellen.
  4. Geben Sie den Distinguished Name (DN) ein. Sie können beispielsweise den vollqualifizierten Domänennamen (FQDN) Ihres Citrix Endpoint Management-Servers eingeben, z. B. www.domain.com. Klicken Sie auf Weiter.
  5. Wählen Sie Microsoft RSA SChannel Cryptographic Provider als Kryptografieanbieter und 2048 als Bitlänge aus. Klicken Sie dann auf Weiter.
  6. Geben Sie einen Dateinamen für die Zertifikatanforderung ein wählen Sie einen Speicherort aus und klicken Sie dann auf Fertig stellen.
  7. Als Nächstes signieren Sie die Zertifikatsignieranforderung.

Erstellen einer Zertifikatsignieranforderung mit OpenSSL

Wenn Sie kein macOS-Gerät oder Microsoft IIS zum Generieren einer Zertifikatsignieranforderung verwenden können, verwenden Sie OpenSSL. Sie können OpenSSL von der OpenSSL-Website herunterladen und installieren.

  1. Führen Sie auf dem Computer, auf dem Sie OpenSSL installieren, folgenden Befehl an einer Eingabeaufforderung oder Shell aus.

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. Die folgende Meldung bezüglich der Informationen für die Zertifikatbenennung wird angezeigt. Geben Sie die Informationen wie angefordert ein.

    You are about to be asked to enter information that will be incorporated into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    <!--NeedCopy-->
    
  3. Geben Sie bei der nächsten Meldung ein Kennwort für den privaten CSR-Schlüssel ein.

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    <!--NeedCopy-->
    
  4. Um fortzufahren, signieren Sie die Zertifikatsignieranforderung wie im nächsten Abschnitt beschrieben.

Signieren der Zertifikatsignieranforderung

Um ein Zertifikat mit Citrix Endpoint Management zu verwenden, müssen Sie es zum Signieren an Citrix übermitteln. Citrix signiert die Zertifikatsignieranforderung mit seinem Zertifikat für die Mobilgeräteverwaltung und sendet die signierte Datei im Format .plist zurück.

  1. Wechseln Sie in Ihrem Browser zu der Website Citrix Endpoint Management Tools und klicken Sie dann auf Request push notification certificate signature.

    Citrix Endpoint Management Tools-Seite

  2. Klicken Sie auf der Seite Creating a new certificate auf Upload the CSR.

    Option "Upload the CSR"

  3. Navigieren Sie zu dem Zertifikat und wählen Sie es aus.

    Wichtig:

    Das Zertifikat muss im PEM/TXT-Format vorliegen. Ändern Sie bei Bedarf die Dateinamenerweiterung des Zertifikats in .pem oder .txt, indem Sie mit der rechten Maustaste klicken und die Datei umbenennen.

  4. Klicken Sie auf der Seite Citrix Endpoint Management APNs CSR Signing auf Sign. Die CSR wird signiert und automatisch im konfigurierten Downloadordner gespeichert.

  5. Um fortzufahren, übermitteln Sie die signierte CSR wie im nächsten Abschnitt beschrieben.

Übermitteln der signierten Zertifikatsignieranforderung an Apple für den Erhalt eines APNs-Zertifikats

Nach Erhalt der signierten Zertifikatsignieranforderung (CSR) von Citrix senden Sie diese an Apple, um das APNs-Zertifikat zu erhalten, das Sie in Citrix Endpoint Management importieren müssen.

Hinweis:

Es gibt Berichte über Probleme mit der Anmeldung beim Apple Push Portal. Alternativ können Sie sich beim Apple Developer Portal anmelden. Folgen Sie dann diesen Schritten:

  1. Rufen Sie in einem Browser das Apple Push Certificates Portal auf.

  2. Klicken Sie auf Create a Certificate.

  3. Wenn Sie zum ersten Mal ein Zertifikat von Apple anfordern, aktivieren Sie das Kontrollkästchen I have read and agree to these terms and conditions und klicken Sie auf Accept.

  4. Klicken Sie auf Choose File, navigieren Sie auf Ihrem Computer zu der signierten CSR und klicken Sie auf Upload. Eine Bestätigungsmeldung zeigt an, dass der Upload erfolgreich war.

  5. Klicken Sie auf Download, um das PEM-Zertifikat abzurufen.

  6. Um fortzufahren, signieren Sie die Zertifikatsignieranforderung (CSR) und exportieren eine PKCS#12-Datei, wie im nächsten Abschnitt beschrieben.

Abschluss der Zertifikatsignieranforderung und Exportieren einer PKCS#12-Datei

Nach dem Erhalt des APNs-Zertifikats von Apple kehren Sie zu Keychain Access, Microsoft IIS oder OpenSSL zurück, um das Zertifikat in eine PCS#12-Datei zu exportieren.

Eine PKCS#12-Datei enthält die APNs-Zertifikatdatei und Ihren privaten Schlüssel. PFX-Dateien haben normalerweise die Erweiterung .pfx oder .p12. Sie können PFX- und P12-Dateien austauschbar verwenden.

Wichtig:

Citrix empfiehlt, die persönlichen und öffentlichen Schlüssel vom lokalen System zu speichern oder zu exportieren. Sie benötigen die Schlüssel, um auf die APNs-Zertifikate erneut zuzugreifen. Ohne dieselben Schlüssel ist Ihr Zertifikat ungültig, und Sie müssen den gesamten CSR- und APNs-Prozess wiederholen.

Erstellen einer PKCS #12-Datei mit der Schlüsselbundverwaltung in macOS

Wichtig:

Verwenden Sie für diese Aufgabe dasselbe macOS-Gerät, mit dem Sie die Zertifikatsignieranforderung erstellt haben.

  1. Suchen Sie auf dem Gerät das Produktidentitätszertifikat (.pem), das Sie von Apple erhalten haben.

  2. Starten Sie die Schlüsselbundverwaltung und navigieren Sie zur Registerkarte Login > My Certificates. Ziehen Sie das Produktidentitätszertifikat mit der Maus auf das geöffnete Fenster und legen Sie es dort ab.

  3. Klicken Sie auf das Zertifikat und dann auf den Pfeil links, um zu überprüfen, ob das Zertifikat den zugehörigen privaten Schlüssel enthält.

  4. Zum Exportieren des Zertifikats in das Format PCKS#12 (.pfx) wählen Sie das Zertifikat und den privaten Schlüssel, klicken mit der rechten Maustaste und wählen Export 2 items.

  5. Geben Sie der Zertifikatdatei einen eindeutigen Namen für die Verwendung mit Citrix Endpoint Management. Verwenden Sie kein Leerzeichen im Namen. Wählen Sie einen Speicherort für das gespeicherte Zertifikat und das PFX-Dateiformat und klicken Sie auf Speichern.

  6. Geben Sie ein Kennwort zum Exportieren des Zertifikats ein. Citrix empfiehlt die Verwendung eines eindeutigen sicheren Kennworts. Bewahren Sie außerdem Zertifikat und Kennwort zur späteren Verwendung auf.

  7. Die Schlüsselbundverwaltung fordert Sie zur Eingabe des Anmeldekennworts oder des ausgewählten Schlüsselbunds auf. Geben Sie das Kennwort ein und klicken Sie auf OK. Das gespeicherte Zertifikat kann nun im Citrix Endpoint Management-Server verwendet werden.

  8. Um fortzufahren, siehe Importieren eines APNs-Zertifikats in Citrix Endpoint Management.

Erstellen einer PKCS#12-Datei mit Microsoft IIS

Wichtig:

Verwenden Sie für diese Aufgabe denselben IIS-Server, mit dem Sie die Zertifikatsignieranforderung erstellt haben.

  1. Öffnen Sie Microsoft IIS.

  2. Klicken Sie auf das Serverzertifikatesymbol.

  3. Klicken Sie im Fenster Server Certificates auf Complete Certificate Request.

  4. Navigieren Sie zu der Datei Certificate.pem von Apple. Geben Sie dann einen Anzeigenamen oder den Zertifikatnamen ein und klicken Sie auf OK. Verwenden Sie kein Leerzeichen im Namen.

  5. Wählen Sie das in Schritt 4 identifizierte Zertifikat und klicken Sie auf Export.

  6. Geben Sie einen Speicherort und einen Dateinamen für das PFX-Zertifikat sowie ein Kennwort ein und klicken Sie auf OK.

    Sie benötigen das Kennwort für das Zertifikat, um es in Citrix Endpoint Management zu importieren.

  7. Kopieren Sie die PFX-Zertifikatdatei auf den Server, auf dem Citrix Endpoint Management installiert werden soll.

  8. Um fortzufahren, siehe Importieren eines APNs-Zertifikats in Citrix Endpoint Management.

Erstellen einer PKCS #12 -Datei mit OpenSSL

Falls Sie eine Zertifikatsignieranforderung mit OpenSSL erstellen, können Sie damit auch ein APNs-Zertifikat im PFX-Format erstellen.

  1. Führen Sie an einer Eingabeaufforderung oder Shell den nachfolgenden Befehl aus. Customer.privatekey.pem ist der private Schlüssel aus Ihrer CSR und APNs_Certificate.pem das von Apple erhaltene Zertifikat.

    openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx

  2. Geben Sie ein Kennwort für die PFX-Datei ein. Merken Sie sich das Kennwort, denn Sie benötigen es wieder, wenn Sie das Zertifikat in Citrix Endpoint Management hochladen.

  3. Notieren Sie den Speicherort der PFX-Zertifikatsdatei. Kopieren Sie dann die Datei auf den Citrix Endpoint Management-Server, damit Sie sie mit der Konsole hochladen können.

  4. Um fortzufahren, importieren Sie ein APNs-Zertifikat in Citrix Endpoint Management, wie im nächsten Abschnitt beschrieben.

Importieren eines APNs-Zertifikats in Citrix Endpoint Management

Nachdem Sie das neue APNs-Zertifikat erhalten haben, importieren Sie es in Citrix Endpoint Management – entweder als erstes Zertifikat oder als Ersatz für ein bestehendes Zertifikat.

  1. Klicken Sie in der Citrix Endpoint Management-Konsole auf Einstellungen > Zertifikate.

  2. Klicken Sie auf Importieren > Schlüsselspeicher.

  3. Wählen Sie unter Verwenden als die Option APNs.

  4. Navigieren Sie zu der PFX- bzw. P12-Datei auf Ihrem Computer.

  5. Geben Sie das Kennwort ein und klicken Sie auf Importieren.

Weitere Informationen über Zertifikate in Citrix Endpoint Management finden Sie unter Zertifikate und Authentifizierung.

Erneuern eines APNs-Zertifikats

Wichtig:

Wenn Sie zum Erneuern des Zertifikats eine andere Apple-ID verwenden, müssen Sie die Benutzergeräte neu registrieren.

Um ein APNs-Zertifikat zu erneuern, führen Sie die Schritte zum Erstellen eines Zertifikats aus und rufen dann das Apple Push Certificates Portal auf. Verwenden Sie dieses Portal, um das neue Zertifikat hochzuladen. Nach der Anmeldung wird Ihr vorhandenes Zertifikat oder ein aus Ihrem vorherigen Apple Developer-Konto importiertes Zertifikat angezeigt.

Im Portal besteht der einzige Unterschied beim Erneuern des Zertifikats darin, dass Sie auf Renew klicken. Sie müssen ein Developer-Konto für das Portal haben, um auf die Website zugreifen zu können. Verwenden Sie beim Erneuern des Zertifikats denselben Organisationsnamen und dieselbe Apple-ID.

Um herauszufinden, wann Ihr APNs-Zertifikat abläuft, klicken Sie in der Citrix Endpoint Management-Konsole auf Einstellungen > Zertifikate. Widerrufen Sie das Zertifikat nicht, falls es abläuft.

  1. Generieren Sie eine Zertifikatsignieranforderung mit IIS (Microsoft), Keychain Access (macOS) oder OpenSSL. Weitere Informationen zum Generieren einer Zertifikatsignieranforderung finden Sie unter Erstellen einer Zertifikatsignieranforderung.

  2. Rufen Sie im Browser die Citrix Endpoint Management Tools auf. Klicken Sie dann auf Request push notification certificate signature.

  3. Klicken Sie auf + Upload the CSR.

  4. Navigieren Sie im Dialogfeld zur CSR, klicken Sie auf Open und dann auf Sign.

  5. Wenn Sie eine .plist-Datei erhalten, speichern Sie sie.

  6. Klicken Sie im Titel von Schritt 3 auf Apple Push Certificates Portal und melden Sie sich an.

  7. Wählen Sie das zu erneuernde Zertifikat aus und klicken Sie auf Renew.

  8. Laden Sie die .plist-Datei hoch. Sie erhalten dann eine PEM-Datei als Ausgabe. Speichern Sie die PEM-Datei.

  9. Schließen Sie mithilfe der PEM-Datei die CSR ab (entsprechend der Methode, die Sie zum Erstellen der CSR in Schritt 1 verwendet haben).

  10. Exportieren Sie das Zertifikat als PFX-Datei.

Importieren Sie die PFX-Datei in der Citrix Endpoint Management-Konsole und schließen Sie die Konfiguration wie folgt ab:

  1. Gehen Sie zu Einstellungen > Zertifikate > Importieren.
  2. Wählen Sie im Menü Importieren die Option Schlüsselspeicher.
  3. Wählen Sie im Menü Schlüsselspeichertyp die Option PKCS #12.
  4. Wählen Sie unter Verwenden als die Option APNs.

    Dialogfeld zum Importieren von Zertifikaten

  5. Klicken Sie für Schlüsselspeicherdatei auf Durchsuchen und navigieren Sie zu der Datei.
  6. Geben Sie unter Kennwort das Kennwort für das Zertifikat ein.
  7. Geben Sie optional eine Beschreibung ein.
  8. Klicken Sie auf Importieren.

Citrix Endpoint Management zeigt nun wieder die Seite Zertifikate an. Die Felder Name, Status, Gültig von und Gültig bis werden aktualisiert.