APNs-Zertifikate

Zum Registrieren und Verwalten von iOS-Geräten mit Endpoint Management müssen Sie ein Zertifikat von Apple für den Apple-Dienst für Push-Benachrichtigungen (Apple Push Notification service, APNs) einrichten.

Hinweis:

  • Das APNs-Zertifikat von Apple ermöglicht die Mobilgeräteverwaltung über das Apple Push-Netzwerk. Wenn Sie ein Zertifikat aus Versehen oder absichtlich widerrufen, können Sie die Geräte nicht mehr verwalten.
  • Wenn Sie mit dem iOS Developer Enterprise Program ein Push-Zertifikat für die Mobilgeräteverwaltung erstellt haben, müssen Sie ggf. aufgrund der Migration vorhandener Zertifikate zum Apple Push Certificates Portal Schritte unternehmen.

Folgende Themen in diesem Abschnitt enthalten in der Reihenfolge ihrer Auflistung grundlegende Informationen zu den Verfahren. Zusammenfassung des Prozesses:

Schritt 1: Für Windows generieren Sie eine Zertifikatsignieranforderung auf einem Computer mit Windows Server 2012 R2 oder Windows Server 2008 R2 und Microsoft IIS. Für Macintosh generieren Sie eine Zertifikatsignieranforderung auf einem Mac-Computer. Citrix empfiehlt diese Methode.

Schritt 2: Sie senden die Zertifikatsignieranforderung an Citrix. Citrix signiert die Zertifikatsignieranforderung mit seinem Zertifikat für die Mobilgeräteverwaltung und sendet die signierte Datei im PLIST-Format zurück.

Schritt 3: Sie senden die signierte Zertifikatsignieranforderung an Apple und laden das APNs-Zertifikat von Apple herunter.

Schritt 4: Sie exportieren das APNs-Zertifikat als PCKS#12-Zertifikat (PFX-Format) in IIS, Mac oder SSL.

Schritt 5: Sie importieren ein APNs-Zertifikat in Endpoint Management.

Informationen zur Apple MDM-Pushzertifikatmigration

Im iOS Developer Enterprise Program erstellte MDM-Pushzertifikate wurden in das Apple Push Certificate Portal migriert. Diese Migration wirkt sich auf die Erstellung neuer MDM-Pushzertifikate und auf Verlängerung, Sperrung und Download bestehender MDM-Pushzertifikate aus. Die Migration hat keine Auswirkungen auf andere (nicht für MDM verwendete) APNs-Zertifikate.

Wurde Ihr MDM-Pushzertifikat im iOS Developer Enterprise Program erstellt, gilt Folgendes:

  • Das Zertifikat wurde automatisch migriert.
  • Sie können das Zertifikat über das Apple Push Certificate Portal verlängern, ohne dass dies Auswirkungen auf die Benutzer hat.
  • Für die Sperrung oder den Download eines vorhandenen Zertifikats müssen Sie das iOS Developer Enterprise Program verwenden.

Wenn Ihre MDM-Pushzertifikate nicht kurz vor dem Ablauf stehen, ist keine Aktion erforderlich. Wenn bei einem Ihrer MDM-Pushzertifikate der Ablauf ansteht, wenden Sie sich an Ihren MDM-Lösungsanbieter. Die bei Ihnen für das iOS Developer Program zuständige Person muss sich dann beim Apple Push Certificate Portal mit ihrer Apple-ID anmelden.

Alle neuen MDM-Pushzertifikate müssen über das Apple Push Certificate Portal erstellt werden. Im iOS Developer Enterprise Program ist keine weitere Erstellung einer App-ID mit Paketbezeichner (siehe Abschnitt “APNs”), die com.apple.mgmt enthält, mehr möglich.

Wichtig:

Bewahren Sie die beim Erstellen des Zertifikats verwendete Apple-ID auf. Bei der Apple-ID muss es sich außerdem um eine Unternehmens-ID und nicht um eine private ID handeln.

Erstellen einer Zertifikatsignieranforderung mit Microsoft IIS

Der erste Schritt zum Generieren einer APNs-Zertifikatanforderung für iOS-Geräte ist das Erstellen einer Zertifikatsignieranforderung (Certificate Signing Request, CSR). Auf einem Computer mit Windows Server 2012 R2 oder Windows Server 2008 R2 können Sie eine CSR mit Microsoft IIS generieren.

  1. Öffnen Sie Microsoft IIS.
  2. Doppelklicken Sie auf das Serverzertifikatesymbol für IIS.
  3. Klicken Sie im Fenster “Server Certificates” auf Create Certificate Request.
  4. Geben Sie den Distinguished Name (DN) ein und klicken Sie auf Weiter.
  5. Wählen Sie Microsoft RSA SChannel Cryptographic Provider als Kryptografieanbieter und 2048 als Bitlänge aus. Klicken Sie dann auf Weiter.
  6. Geben Sie einen Dateinamen für die Zertifikatanforderung ein wählen Sie einen Speicherort aus und klicken Sie dann auf Fertig stellen.

Erstellen einer Zertifikatsignieranforderung auf einem Mac-Computer

  1. Starten Sie auf einem Computer mit macOS unter Anwendungen > Dienstprogramme die Anwendung Keychain Access.
  2. Öffnen Sie das Menü Keychain Access und klicken Sie dann auf Preferences.
  3. Ändern Sie auf der Registerkarte Certificates die Einstellung für OCSP und CRL in Off und schließen Sie das Fenster “Preferences”.
  4. Klicken Sie im Menü Keychain Access auf Certificate Assistant > Request a Certificate From a Certificate Authority.
  5. Der Zertifikatassistent fordert Sie zur Eingabe folgender Informationen auf:
    • Email Address: E-Mail-Adresse des Benutzer- bzw. Rollenkontos, das zum Verwalten des Zertifikats verwendet wird.
    • Common Name: allgemeiner Name des Benutzer- bzw. Rollenkontos, das zum Verwalten des Zertifikats verwendet wird.
    • CA Email Address: E-Mail-Adresse der Zertifizierungsstelle.
  6. Wählen Sie Saved to disk und Let me specify key pair information und klicken Sie auf Continue.
  7. Geben Sie einen Namen für die CSR-Datei ein, speichern Sie die Datei auf Ihrem Computer und klicken Sie dann auf Save.
  8. Als Schlüsselpaarinformationen wählen Sie für Key Size den Wert “2048 bits” und unter RSA algorithm den RSA-Algorithmus aus. Klicken Sie dann auf Continue. Die CSR-Datei kann nun als Teil des APNs-Zertifikatverfahrens hochgeladen werden.
  9. Klicken Sie auf Done, wenn der Assistent den Prozess abgeschlossen hat.

Erstellen einer Zertifikatsignieranforderung mit Open SSL

Wenn Sie keinen Mac-Computer oder unterstützten Windows-Server mit Microsoft IIS zum Generieren einer CSR verwenden können, können Sie OpenSSL verwenden.

Für die CSR-Erstellung mit OpenSSL laden Sie zuerst OpenSSL von der OpenSSL-Website herunter und installieren Sie es.

  1. Führen Sie auf dem Computer, auf dem Sie OpenSSL installiert haben, folgenden Befehl an einer Eingabeaufforderung oder Shell aus.

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. Die folgende Meldung bezüglich der Informationen für die Zertifikatbenennung wird angezeigt. Geben Sie die Informationen wie angefordert ein.

    You are about to be asked to enter information that will be incorporated into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    
  3. Geben Sie bei der nächsten Meldung ein Kennwort für den privaten CSR-Schlüssel ein.

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    

Signieren der Zertifikatsignieranforderung (CSR)

Bevor Sie das Zertifikat an Apple senden können, senden Sie es an Citrix zum Signieren, damit es mit Endpoint Management verwendet werden kann.

  1. Wechseln Sie in Ihrem Browser zu der Website Endpoint Management Tools und klicken Sie dann auf Request push notification certificate signature.

  2. Klicken Sie auf Upload the CSR.

  3. Navigieren Sie zu dem Zertifikat und wählen Sie es aus.

    Das Zertifikat muss im PEM/TXT-Format vorliegen.

  4. Klicken Sie auf der Seite Endpoint Management APNs CSR Signing auf Sign. Die CSR wird signiert und automatisch im konfigurierten Downloadordner gespeichert.

Übermitteln der signierten CSR an Apple für den Erhalt eines APNs-Zertifikats

Nach Erhalt der signierten CSR von Citrix senden Sie diese an Apple, um das APNs-Zertifikat zu erhalten.

Hinweis:

Es gibt Berichte über Probleme mit der Anmeldung beim Apple Push Portal. Alternativ können Sie sich beim Apple Developer Portal anmelden, bevor Sie den Link “identity.apple.com” in Schritt 1 aufrufen.

  1. Rufen Sie in einem Browser https://identity.apple.com/pushcert auf.

  2. Klicken Sie auf Create a Certificate.

  3. Wenn Sie zum ersten Mal ein Zertifikat von Apple anfordern, aktivieren Sie das Kontrollkästchen I have read and agree to these terms and conditions und klicken Sie auf Accept.

  4. Klicken Sie auf Choose File, navigieren Sie auf Ihrem Computer zu der signierten CSR und klicken Sie auf Upload. Eine Bestätigungsmeldung zeigt an, dass der Upload erfolgreich war.

  5. Klicken Sie auf Download, um das PEM-Zertifikat abzurufen.

    Wenn Sie Internet Explorer verwenden und die Dateinamenerweiterung fehlt, klicken Sie zwei Mal auf Abbrechen und führen Sie den Download über das nächste Fenster aus.

Erstellen eines PFX-Zertifikats für APNs mit Microsoft IIS

Um ein APNS-Zertifikat von Apple in Endpoint Management zu verwenden, führen Sie die Zertifikatanforderung in Microsoft IIS durch, exportieren Sie das Zertifikat als PCKS#12-Datei (.pfx) und importieren Sie dann das APNS-Zertifikat in Endpoint Management.

Wichtig:

Verwenden Sie für diese Aufgabe den gleichen IIS-Server wie für die Erstellung der Zertifikatsignieranforderung.

  1. Öffnen Sie Microsoft IIS.

  2. Klicken Sie auf das Serverzertifikatesymbol.

  3. Klicken Sie im Fenster auf Server Certificates auf Complete Certificate Request.

  4. Navigieren Sie zu der Datei Certificate.pem von Apple. Geben Sie dann einen Anzeigenamen oder den Zertifikatnamen ein und klicken Sie auf OK. Verwenden Sie kein Leerzeichen im Namen.

  5. Wählen Sie das in Schritt 4 identifizierte Zertifikat und klicken Sie auf Export.

  6. Geben Sie einen Speicherort und einen Dateinamen für das PFX-Zertifikat sowie ein Kennwort ein und klicken Sie auf OK.

    Sie benötigen das Kennwort für das Zertifikat während der Installation von Endpoint Management.

  7. Kopieren Sie die PFX-Zertifikatdatei auf den Server, auf dem Endpoint Management installiert werden soll.

  8. Melden Sie sich als Administrator an der Endpoint Management-Konsole an.

  9. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.

  10. Klicken Sie auf Zertifikate. Die Seite Zertifikate wird angezeigt.

  11. Klicken Sie auf Importieren. Das Dialogfeld Importieren wird angezeigt.

  12. Wählen Sie im Menü Importieren die Option Schlüsselspeicher.

  13. Wählen Sie unter Verwenden als die Option APNs.

  14. Wählen Sie unter Schlüsselspeicher die zu importierende Schlüsselspeicherdatei aus, indem Sie auf Durchsuchen klicken und zum Speicherort der Datei navigieren.

  15. Geben Sie unter Kennwort das dem Zertifikat zugewiesene Kennwort ein.

  16. Klicken Sie auf Importieren.

Erstellen eines PFX-Zertifikats für APNs auf einem Mac-Computer

  1. Suchen Sie auf dem Computer mit macOS, auf dem Sie die Zertifikatsignieranforderung erstellt haben, das von Apple erhaltene PEM-Zertifikat.

  2. Doppelklicken Sie auf die Zertifikatdatei, um sie in die Schlüsselsammlung zu importieren.

  3. Wenn Sie aufgefordert werden, das Zertifikat einer bestimmten Schlüsselsammlung hinzuzufügen, übernehmen Sie die standardmäßig ausgewählte Anmelde-Schlüsselsammlung und klicken Sie auf OK. Das neu hinzugefügte Zertifikat wird nun in der Liste der Zertifikate angezeigt.

  4. Klicken Sie auf das Zertifikat und dann im Menü Datei auf Exportieren, um mit dem Exportieren des Zertifikats in PCKS#12 (.pfx) zu beginnen.

  5. Geben Sie der Zertifikatdatei einen eindeutigen Namen für die Verwendung mit dem Endpoint Management-Server. Verwenden Sie kein Leerzeichen im Namen. Wählen Sie einen Speicherort für das gespeicherte Zertifikat und das PFX-Dateiformat und klicken Sie auf Speichern.

  6. Geben Sie ein Kennwort zum Exportieren des Zertifikats ein. Citrix empfiehlt die Verwendung eines eindeutigen sicheren Kennworts. Bewahren Sie außerdem Zertifikat und Kennwort zur späteren Verwendung auf.

  7. Keychain Access fordert Sie zur Eingabe des Anmeldekennworts oder der ausgewählten Schlüsselsammlung auf. Geben Sie das Kennwort ein und klicken Sie auf OK. Das gespeicherte Zertifikat kann nun im Endpoint Management-Server verwendet werden.

    Hinweis:

    Wenn Sie den Computer und das Benutzerkonto, die Sie zum Generieren der Zertifikatsignieranforderung und Exportieren des Zertifikats verwendet haben, nicht beibehalten möchten, empfiehlt Citrix, den privaten und öffentlichen Schlüssel zu speichern und aus dem lokalen System zu exportieren. Ansonsten wird der Zugriff auf APNs-Zertifikate zur Wiederverwendung ungültig und Sie müssen das gesamte Verfahren zum Erstellen von Zertifikatsignieranforderung und APNs-Zertifikat wiederholen.

Erstellen eines PFX-Zertifikats für APNs mit OpenSSL

Nachdem Sie mit OpenSSL eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) erstellt haben, können Sie mit OpenSSL auch ein PFX-Zertifikat für APNs erstellen.

  1. Führen Sie an einer Eingabeaufforderung oder Shell folgenden Befehl aus:

    openssl pkcs12 -export -in MDM_Zenprise_Certificate.pem -inkey Customer.key.pem -out apns_identity.p12

  2. Geben Sie ein Kennwort für die PFX-Datei ein. Merken Sie sich das Kennwort, denn Sie benötigen es wieder, wenn Sie das Zertifikat in Endpoint Management hochladen.

  3. Notieren Sie den Speicherort der PFX-Zertifikatsdatei. Kopieren Sie dann die Datei auf den Endpoint Management-Server, damit Sie sie mit der Konsole hochladen können.

Importieren eines APNs-Zertifikats in Endpoint Management

Nachdem Sie ein neues APNS-Zertifikat angefordert und empfangen haben, importieren Sie das APNS-Zertifikat in Endpoint Management – entweder als erstes Zertifikat oder als Ersatz für ein bestehendes Zertifikat.

  1. Klicken Sie in der Endpoint Management-Konsole auf das Zahnradsymbol rechts oben. Die Seite Einstellungen wird angezeigt.
  2. Klicken Sie auf Zertifikate. Die Seite Zertifikate wird angezeigt.
  3. Klicken Sie auf Importieren. Das Dialogfeld Importieren wird angezeigt.
  4. Wählen Sie im Menü Importieren die Option Schlüsselspeicher.
  5. Wählen Sie unter Verwenden als die Option APNs.
  6. Navigieren Sie zu der P12-Datei auf Ihrem Computer.
  7. Geben Sie das Kennwort ein und klicken Sie auf Importieren.

Weitere Informationen über Zertifikate in Endpoint Management finden Sie unter Zertifikate und Authentifizierung.

Erneuern eines APNs-Zertifikats

Zum Erneuern eines APNs-Zertifikats führen Sie dieselben Schritte aus wie beim Erstellen eines Zertifikats. Laden Sie anschließend das neue Zertifikat über das Apple Push Certificates Portal hoch. Nach der Anmeldung wird Ihr vorhandenes Zertifikat oder evtl. ein aus Ihrem vorherigen Apple Developer-Konto importiertes Zertifikat angezeigt.

Im Portal besteht der einzige Unterschied bei Verlängerung eines Zertifikats darin, dass Sie auf Renew klicken. Sie müssen ein Developer-Konto für das Portal haben, um auf die Website zugreifen zu können. Stellen Sie beim Verlängern des Zertifikats sicher, dass Sie denselben Unternehmensnamen und dieselbe Apple-ID verwenden.

Um herauszufinden, wann Ihr APNs-Zertifikat abläuft, klicken Sie in der Endpoint Management-Konsole auf Konfigurieren > Einstellungen > Zertifikate. Ist das Zertifikat abgelaufen, müssen Sie es nicht widerrufen.

  1. Generieren Sie eine CSR mithilfe von IIS (Microsoft), OpenSSL oder Keychain Access (macOS).
  2. Wechseln Sie in Ihrem Browser zu der Website Endpoint Management Tools und klicken Sie dann auf Request push notification certificate signature.
  3. Klicken Sie auf + Upload the CSR. Navigieren Sie dann im Dialogfeld zur CSR, klicken Sie auf Open und dann auf Sign.
  4. Speichern Sie die erhaltene PLIST-Datei.
  5. Klicken Sie auf Apple Push Certificates Portal und melden Sie sich an.
  6. Wählen Sie das Zertifikat aus, das Sie verlängern möchten, und klicken Sie auf Renew.
  7. Laden Sie die PLIST-Datei hoch. Sie erhalten dann PEM-Datei als Ausgabe. Speichern Sie die PEM-Datei.
  8. Schließen Sie mithilfe der PEM-Datei die CSR ab (entsprechend der Methode, die Sie zum Erstellen der CSR in Schritt 1 verwendet haben).
  9. Exportieren Sie das Zertifikat als PFX-Datei.

Importieren Sie die PFX-Datei in der Endpoint Management-Konsole und schließen Sie die Konfiguration wie folgt ab:

  1. Navigieren Sie zu Einstellungen > Zertifikatverwaltung.
  2. Klicken Sie auf der Seite Zertifikate auf Importieren.
  3. Wählen Sie im Menü Importieren die Option Schlüsselspeicher.
  4. Wählen Sie für Schlüsselspeichertyp die Option PKCS#12.
  5. Wählen Sie unter Verwenden als die Option APNs.
  6. Klicken Sie für Schlüsselspeicherdatei auf Durchsuchen und navigieren Sie zu der Datei.
  7. Geben Sie unter Kennwort das Kennwort für das Zertifikat ein.
  8. Geben Sie optional eine Beschreibung ein.
  9. Klicken Sie auf Importieren.

Endpoint Management zeigt nun wieder die Seite Zertifikate an. Die Felder Name, Status, Gültig von und Gültig bis werden aktualisiert.