Certificados APNs

Para inscribir y administrar dispositivos Apple en Endpoint Management, configure un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. El certificado permite la administración de dispositivos móviles a través de Apple Push Network.

Resumen del flujo de trabajo:

Paso 1: Crear una solicitud de firma de certificado Solicitar la firma de certificado a través de cualquiera de estos métodos:

Paso 2: Firmar la solicitud de firma de certificado en Herramientas de Endpoint Management

Paso 3: Enviar la solicitud de firma de certificado firmada a Apple para obtener el certificado APNs

Paso 4: Desde el mismo equipo que el utilizado para el paso 1, Completar la solicitud de firma de certificado y exportar un archivo PKCS #12:

Paso 5: Importar un certificado APNs en Endpoint Management

Paso 6: Para renovar un certificado APNs

Crear una solicitud de firma de certificado

Se recomienda crear una solicitud de firma de certificado mediante Acceso a Llaveros en macOS. También puede crear una solicitud de firma de certificado mediante Microsoft IIS u OpenSSL.

Importante:

  • Para el ID de Apple que se utiliza para crear el certificado:
    • El ID de Apple debe ser un ID de empresa, no un ID personal.
    • Registre el ID de Apple utilizado para crear el certificado.
    • Para renovar el certificado, utilice el mismo nombre de organización y el mismo ID de Apple. Usar otro ID de Apple para renovar el certificado requiere la reinscripción del dispositivo.
  • Si revoca el certificado, ya sea accidental o intencionadamente, ya no podrá administrar los dispositivos.

  • Si ha utilizado el programa iOS Developer Enterprise Program para crear un certificado push para MDM, debe gestionar las acciones correspondientes a los certificados migrados del portal Apple Push Certificates Portal.

Crear una solicitud de firma de certificado mediante Acceso a Llaveros en macOS

  1. En un equipo con macOS, en Aplicaciones > Utilidades, inicie la aplicación Acceso a Llaveros.
  2. Abra el menú Acceso a Llaveros y haga clic en Asistente para Certificados > Solicitar un certificado de una entidad.
  3. El Asistente para Certificados solicitará que introduzca la información siguiente:
    • Dirección de correo electrónico: Dirección de correo electrónico perteneciente a la cuenta de la persona o del rol responsable de administrar el certificado.
    • Nombre común: Nombre común de la cuenta de la persona o del rol responsable de administrar el certificado.
    • Dirección de correo de la CA: Dirección de correo electrónico de la entidad de certificación.
  4. Seleccione las opciones Se guarda en el disco y Permitirme especificar la información del par de llaves y, a continuación, haga clic en Continuar.
  5. Asigne y escriba un nombre para el archivo de solicitud de firma de certificado, guárdelo en el equipo y, a continuación, haga clic en Guardar.
  6. Para especificar la información del par de claves, seleccione un Tamaño de la clave de 2048 bits y el Algoritmo RSA. A continuación, haga clic en Continuar. El archivo de solicitud de firma de certificado está listo para su carga como parte del proceso de certificado APNs.
  7. Haga clic en Aceptar cuando el Asistente para Certificados haya terminado el proceso de solicitud de la firma de certificado.
  8. Para continuar, consulte Firmar la solicitud de firma de certificado.

Crear una solicitud de firma de certificado mediante Microsoft IIS

El primer paso para generar una solicitud de certificado APNs consiste en crear una solicitud de firma de certificado (CSR). Para Windows, genere una solicitud CSR mediante Microsoft IIS.

  1. Abra Microsoft IIS.
  2. Haga doble clic en el icono de Certificados de servidor para IIS.
  3. En la ventana Certificados de servidor, haga clic en Crear una solicitud de certificado.
  4. Escriba la información de nombre distintivo (DN) correspondiente y, a continuación, haga clic en Siguiente.
  5. Seleccione el Proveedor de cifrado Microsoft RSA SChannel como proveedor de servicios de cifrado. Asimismo, seleccione 2048 para la longitud en bits y, a continuación, haga clic en Siguiente.
  6. Escriba un nombre de archivo y especifique una ubicación para guardar la solicitud de firma de certificado y, a continuación, haga clic en Finalizar.
  7. Para continuar, consulte Firmar la solicitud de firma de certificado.

Crear una solicitud de firma de certificado mediante OpenSSL

Si no puede usar un dispositivo macOS o Microsoft IIS para generar una solicitud de firma de certificado, use OpenSSL. Puede descargar e instalar OpenSSL desde el sitio web de OpenSSL.

  1. En el equipo donde instale OpenSSL, ejecute el siguiente comando desde el shell o del símbolo del sistema.

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. Aparece el siguiente mensaje con información pertinente para asignar nombres de certificado. Escriba la información tal y como se indica.

    You are about to be asked to enter information that will be incorporated into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    
  3. En el siguiente mensaje, escriba una contraseña para la clave privada de la solicitud CSR.

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    
  4. Para continuar, firme la solicitud de firma como se describe en la siguiente sección.

Firmar la solicitud de firma de certificado

Para utilizar un certificado con Endpoint Management, debe enviarlo a Citrix para su firma. Citrix firma la solicitud de firma de certificado con el certificado de firma de administración de dispositivos móviles y devuelve el archivo firmado en un formato .plist.

  1. En el explorador web, vaya al sitio web Herramientas de Endpoint Management y haga clic en Request push notification certificate signature.

    Página Endpoint Management Tools

  2. En la página Creating a new certificate page, haga clic en Upload the CSR.

    Opción Upload CSR

  3. Busque y seleccione el certificado.

    El certificado debe estar en el formato PEM o TXT.

  4. En la página Endpoint Management APNs CSR Signing, haga clic en Sign. La solicitud se firma y se guarda automáticamente en la carpeta de descargas definida.

  5. Para continuar, envíe la solicitud de firma de certificado firmada como se describe en la siguiente sección.

Enviar la solicitud de firma de certificado firmada a Apple para obtener el certificado APNs

Después de recibir la solicitud de firma de certificado (CSR) firmada de Citrix, envíela a Apple para obtener el certificado de APNs necesario para importarlo en Endpoint Management.

Nota:

Algunos usuarios han informado de problemas para iniciar sesión en el portal de certificados push de Apple. Como alternativa, puede iniciar sesión en el Portal para desarrolladores de Apple. A continuación, puede seguir estos pasos.

  1. En un explorador, diríjase a Apple Push Certificates Portal.

  2. Haga clic en Create a Certificate.

  3. Si es la primera vez que crea un certificado con Apple, marque la casilla I have read and agree to these terms and conditions y, a continuación, haga clic en Accept.

  4. Haga clic en Choose File, vaya al certificado firmado ubicado en el equipo y, a continuación, haga clic en Upload. Aparece un mensaje de confirmación donde se indica que la carga se ha realizado correctamente.

  5. Haga clic en Download para obtener el certificado PEM.

    Si utiliza Internet Explorer y falta la extensión del archivo, haga clic en Cancel dos veces. Realice la descarga desde la siguiente ventana.

  6. Para continuar, rellene la solicitud de firma y exporte el archivo PKCS #12 como se describe en la siguiente sección.

Completar la solicitud de firma de certificado y exportar un archivo PKCS #12

Después de recibir el certificado APNs de Apple, vuelva a Acceso a Llaveros, Microsoft IIS u OpenSSL para exportar el certificado a un archivo PCKS #12.

Un archivo PKCS #12 contiene el archivo de certificado APNs y la clave privada. Los archivos PFX generalmente tienen la extensión .pfx o .p12. Puede utilizar archivos .pfx o .p12 indistintamente.

Importante:

Se recomienda guardar o exportar las claves personales y públicas del sistema local. Necesita esas claves para acceder a los certificados APNs y volver a utilizarlos. Sin las mismas claves, el certificado no es válido y debe repetir todo el proceso de solicitud CSR y APNs.

Crear un archivo PKCS #12 mediante Acceso a Llaveros en macOS

Importante:

Utilice el mismo dispositivo macOS para esta tarea que el que utilizó para generar la solicitud de firma de certificado.

  1. En el dispositivo, busque el certificado de identidad de producción (.pem) recibido de Apple.

  2. Inicie la aplicación Acceso a Llaveros y vaya a la ficha Iniciar sesión > Mis certificados. Arrastre y suelte el certificado de identidad del producto en la ventana abierta.

  3. Haga clic en el certificado y expanda la flecha izquierda para comprobar que el certificado incluye una clave privada asociada.

  4. Para comenzar a exportar el certificado a un certificado PCKS #12 (.pfx), elija el certificado y la clave privada, haga clic con el botón secundario y seleccione Exportar 2 elementos.

  5. Dé al archivo de certificado un nombre único para usarlo con Endpoint Management. No incluya espacios en el nombre. A continuación, elija una ubicación de carpeta para guardar el certificado, seleccione el formato de archivo PFX y haga clic en Guardar.

  6. Escriba una contraseña para exportar el certificado. Citrix recomienda usar una contraseña única y segura. Además, compruebe que el certificado y la contraseña se encuentren en un lugar seguro para su uso y referencia posteriores.

  7. La aplicación Acceso a Llaveros le solicitará la contraseña de inicio de sesión o el llavero seleccionado. Escriba la contraseña y, a continuación, haga clic en Aceptar. Ahora, el certificado guardado está listo para su uso con el servidor de Endpoint Management.

  8. Para continuar, consulte Importar un certificado APNs en Endpoint Management.

Crear un archivo PKCS #12 mediante Microsoft IIS

Importante:

Use el mismo servidor IIS para esta tarea que el que utilizó para generar la solicitud de firma de certificado.

  1. Abra Microsoft IIS.

  2. Haga clic en el icono Certificados de servidor.

  3. En la ventana Certificados de servidor, haga clic en Completar solicitud de certificado.

  4. Busque el archivo Certificate.pem de Apple. Escriba un nombre descriptivo o el nombre del certificado y haga clic en Aceptar. No incluya espacios en el nombre.

  5. Seleccione el certificado que identificó en el paso 4 y, a continuación, haga clic en Exportar.

  6. Especifique una ubicación y un nombre de archivo para el certificado PFX, así como una contraseña, y, a continuación, haga clic en Aceptar.

    Necesita la contraseña del certificado para importarlo a Endpoint Management.

  7. Copie el certificado PFX al servidor en el que se instalará Endpoint Management.

  8. Para continuar, consulte Importar un certificado APNs en Endpoint Management.

Crear un archivo PKCS #12 mediante OpenSSL

Si utiliza OpenSSL para crear una solicitud de firma de certificado, también puede usar OpenSSL para crear un certificado APNs .pfx.

  1. En un símbolo del sistema o shell, ejecute el siguiente comando. Customer.privatekey.pem es la clave privada de su solicitud de firma de certificado. APNs_Certificate.pem es el certificado que acaba de recibir de Apple.

    openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx

  2. Escriba una contraseña para el archivo de certificado de extensión PFX. Recuerde esta contraseña porque necesitará volver a utilizarla al cargar el certificado en Endpoint Management.

  3. Tome nota de la ubicación del archivo de certificado PFX. Copie el archivo al servidor de Endpoint Management a fin de poder usar la consola para cargar el archivo.

  4. Para continuar, importe un certificado APNs en Endpoint Management, como se describe en la sección siguiente.

Importar un certificado APNs en Endpoint Management

Después de recibir un nuevo certificado APNs, importe ese certificado en Endpoint Management, ya sea para agregar el certificado por primera vez o para reemplazar un certificado existente.

  1. En la consola de Endpoint Management, vaya a Parámetros > Certificados.

  2. Haga clic en Importar > Almacén de claves.

  3. En Usar como, elija APNs.

  4. Busque el archivo P12 en su equipo.

  5. Escriba la contraseña y, a continuación, haga clic en Importar.

Para obtener más información acerca de los certificados en Endpoint Management, consulte Certificados y autenticación.

Para renovar un certificado APNs

Importante:

Si usa otro ID de Apple para el proceso de renovación, deberá volver a inscribir los dispositivos de usuario.

Para renovar un certificado APNs, realice los pasos necesarios para crear un certificado y, a continuación, vaya a Apple Push Certificates Portal. Utilice ese portal para cargar el nuevo certificado. Después de iniciar sesión, aparece el certificado existente o un certificado importado desde su cuenta anterior de desarrollador de Apple.

En el portal de certificados, la única diferencia cuando se renueva el certificado es que tiene que hacer clic en Renew. Debe tener una cuenta de desarrollador en el portal de certificados para acceder al sitio. Para renovar el certificado, utilice el mismo nombre de organización y el mismo ID de Apple.

Para determinar cuándo caduca su certificado APNs, en la consola de Endpoint Management, vaya a Parámetros > Certificados. Si el certificado caduca, no lo revoque.

Nota:

No utilice el explorador Internet Explorer. De lo contrario, el paso 7 genera un archivo JSON, en lugar de un archivo PEM.

  1. Genere una solicitud CSR mediante Microsoft IIS, Acceso a Llaveros (macOS) u OpenSSL. Para obtener más información sobre cómo generar una solicitud CSR, consulte Crear una solicitud de firma de certificado.

  2. En un explorador, vaya a Herramientas de Endpoint Management. A continuación, haga clic en Request push notification certificate signature.

  3. Haga clic en + Upload the CSR.

  4. En el cuadro de diálogo, vaya a la solicitud CSR y haga clic en Open y Sign.

  5. Cuando reciba un archivo .plist, guárdelo.

  6. En el título del paso 3, haga clic en Apple Push Certificates Portal e inicie sesión.

  7. Seleccione el certificado que se va a renovar y, a continuación, haga clic en Renew.

  8. Cargue el archivo .plist. Recibirá un archivo PEM de salida. Guarde el archivo PEM.

  9. Con ese archivo PEM, complete la solicitud CSR (de acuerdo con el método que usó para crear la CSR en el Paso 1).

  10. Exporte el certificado como un archivo PFX.

En la consola de Endpoint Management, importe el archivo PFX y complete la configuración de este modo:

  1. Vaya a Parámetros > Certificados > Importar.
  2. En el menú Importar, elija Almacén de claves.
  3. Desde el menú Tipo de almacén de claves, elija PKCS #12.
  4. En Usar como, elija APNs.

    Cuadro de diálogo Importar certificado

  5. Para el Archivo de almacén de claves, haga clic en Examinar y vaya al archivo.
  6. En Contraseña, escriba la contraseña del certificado.
  7. Puede escribir una descripción opcional.
  8. Haga clic en Importar.

Endpoint Management lo redirige de vuelta a la página Certificados. Se actualizan los campos Nombre, Estado, Válido desde y Válido hasta.