Versión Current Release de XenMobile Server

Certificados APNs

Importante:

Apple dejará de desarrollar el protocolo binario heredado de APNs a partir del 31 de marzo de 2021. Apple recomienda que se utilice en su lugar la API del proveedor de APNs basada en HTTP/2. A partir de la versión 10.13.0, XenMobile Server admite la API basada en HTTP/2. Para obtener más información, consulte la actualización de noticias “Apple Push Notification Service Update” en https://developer.apple.com/. Para obtener ayuda sobre cómo comprobar la conectividad con APNs, consulte Comprobaciones de conectividad.

Para inscribir y administrar dispositivos iOS y macOS en XenMobile, debe configurar un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple.

Resumen del flujo de trabajo:

Crear una solicitud de firma de certificado

Se recomienda crear una solicitud de firma de certificado mediante Acceso a Llaveros en macOS. También puede crear una solicitud de firma de certificado mediante Microsoft IIS u OpenSSL.

Importante:

  • Para el ID de Apple que se utiliza para crear el certificado:
    • The Apple ID must be a corporate ID and not a personal ID.
    • Record the Apple ID that you use to create the certificate.
    • To renew your certificate, use the same organization name and Apple ID. Using a different Apple ID to renew the certificate require device re-enrollment.
  • Si revoca el certificado, ya sea accidental o intencionadamente, ya no podrá administrar los dispositivos.

  • Si ha utilizado el programa iOS Developer Enterprise Program para crear un certificado push para MDM, debe gestionar las acciones correspondientes a los certificados migrados del portal Apple Push Certificates Portal.

Crear una solicitud de firma de certificado mediante Acceso a Llaveros en macOS

  1. En un equipo con macOS, en Aplicaciones > Utilidades, inicie la aplicación Acceso a Llaveros.
  2. Abra el menú Acceso a Llaveros y haga clic en Asistente para Certificados > Solicitar un certificado de una entidad.
  3. El Asistente para Certificados solicitará que introduzca la información siguiente:
    • Dirección de correo electrónico: Dirección de correo electrónico perteneciente a la cuenta de la persona o del rol responsable de administrar el certificado.
    • Nombre común: Nombre común de la cuenta de la persona o del rol responsable de administrar el certificado.
    • Dirección de correo de la CA: Dirección de correo electrónico de la entidad de certificación.
  4. Seleccione las opciones Se guarda en el disco y Permitirme especificar la información del par de llaves y, a continuación, haga clic en Continuar.
  5. Asigne y escriba un nombre para el archivo de solicitud de firma de certificado, guárdelo en el equipo y, a continuación, haga clic en Guardar.
  6. Para especificar la información del par de claves, seleccione un Tamaño de la clave de 2048 bits y el Algoritmo RSA. A continuación, haga clic en Continuar. El archivo de solicitud de firma de certificado está listo para su carga como parte del proceso de certificado APNs.
  7. Haga clic en Aceptar cuando el Asistente para Certificados haya terminado el proceso de solicitud de la firma de certificado.
  8. Para continuar, firme la solicitud CSR.

Crear una solicitud de firma de certificado mediante Microsoft IIS

El primer paso para generar una solicitud de certificado APNs consiste en crear una solicitud de firma de certificado (CSR). Para Windows, genere una solicitud CSR mediante Microsoft IIS.

  1. Abra Microsoft IIS.
  2. Haga doble clic en el icono de Certificados de servidor para IIS.
  3. En la ventana Certificados de servidor, haga clic en Crear una solicitud de certificado.
  4. Escriba la información de nombre distintivo (DN) correspondiente y, a continuación, haga clic en Siguiente.
  5. Seleccione el Proveedor de cifrado Microsoft RSA SChannel como proveedor de servicios de cifrado. Asimismo, seleccione 2048 para la longitud en bits y, a continuación, haga clic en Siguiente.
  6. Escriba un nombre de archivo y especifique una ubicación para guardar la solicitud de firma de certificado y, a continuación, haga clic en Finalizar.
  7. Para continuar, firme la solicitud CSR.

Para crear una solicitud de firma de certificado mediante OpenSSL

Si no puede usar un dispositivo macOS o Microsoft IIS para generar una solicitud de firma de certificado, use OpenSSL. Puede descargar e instalar OpenSSL desde el sitio web de OpenSSL.

  1. En el equipo donde instale OpenSSL, ejecute este comando desde el shell o del símbolo del sistema.

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. Aparece el siguiente mensaje con información pertinente para asignar nombres de certificado. Escriba la información tal y como se indica.

    You are about to be asked to enter information that will be incorporated into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    <!--NeedCopy-->
    
  3. En el siguiente mensaje, escriba una contraseña para la clave privada de la solicitud CSR.

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    <!--NeedCopy-->
    
  4. Para continuar, firme la solicitud de firma como se describe en la siguiente sección.

Firmar la solicitud de firma de certificado

Para utilizar un certificado con XenMobile, envíelo a Citrix para su firma. Citrix firma la solicitud de firma de certificado con el certificado de firma de administración de dispositivos móviles y devuelve el archivo firmado en un formato .plist.

  1. En el explorador web, vaya al sitio web Endpoint Management Tools y haga clic en Request push notification certificate signature.

    Página de Endpoint Management Tools

  2. En la página Creating a new certificate page, haga clic en Upload the CSR.

    Opción Upload CSR

  3. Busque y seleccione el certificado.

    El certificado debe estar en el formato PEM o TXT.

  4. En la página Endpoint Management APNs CSR Signing, haga clic en Sign. La solicitud se firma y se guarda automáticamente en la carpeta de descargas definida.

  5. Para continuar, envíe la solicitud de firma de certificado firmada como se describe en la siguiente sección.

Enviar la solicitud de firma de certificado firmada a Apple para obtener el certificado APNs

Después de recibir la solicitud de firma de certificado (CSR) firmada de Citrix, envíela a Apple para obtener el certificado de APNs necesario para importarlo en XenMobile.

Nota:

Algunos usuarios han informado de problemas para iniciar sesión en el portal de certificados push de Apple. Como alternativa, inicie sesión en el Portal para desarrolladores de Apple y, a continuación, siga estos pasos:

  1. En un explorador web, vaya al Portal de certificados push de Apple.

  2. Haga clic en Create a Certificate.

  3. Si es la primera vez que crea un certificado con Apple, marque la casilla I have read and agree to these terms and conditions y, a continuación, haga clic en Accept.

  4. Haga clic en Choose File, vaya al certificado firmado ubicado en el equipo y, a continuación, haga clic en Upload. Aparece un mensaje de confirmación donde se indica que la carga se ha realizado correctamente.

  5. Haga clic en Download para obtener el certificado PEM.

  6. Para continuar, rellene la solicitud de firma y exporte el archivo PKCS #12 como se describe en la siguiente sección.

Completar la solicitud de firma de certificado y exportar un archivo PKCS #12

Después de recibir el certificado APNs de Apple, vuelva a Acceso a Llaveros, Microsoft IIS u OpenSSL para exportar el certificado a un archivo PCKS #12.

Un archivo PKCS #12 contiene el archivo de certificado APNs y la clave privada. Los archivos PFX generalmente tienen la extensión PFX o P12. Puede utilizar archivos PFX o P12 indistintamente.

Importante:

Se recomienda guardar o exportar las claves personales y públicas del sistema local. Necesita esas claves para acceder a los certificados APNs y volver a utilizarlos. Sin las mismas claves, el certificado no es válido y debe repetir todo el proceso de solicitud CSR y APNs.

Crear un archivo PKCS #12 mediante Acceso a Llaveros en macOS

Importante:

Utilice el mismo dispositivo macOS para esta tarea que el que utilizó para generar la solicitud de firma de certificado.

  1. En el dispositivo, busque el certificado de identidad de producción (PEM) recibido de Apple.

  2. Inicie la aplicación Acceso a Llaveros y vaya a la ficha Iniciar sesión > Mis certificados. Arrastre y suelte el certificado de identidad del producto en la ventana abierta.

  3. Haga clic en el certificado y expanda la flecha izquierda para comprobar que el certificado incluye una clave privada asociada.

  4. Para comenzar a exportar el certificado a un certificado PCKS #12 (PFX), elija el certificado y la clave privada, haga clic con el botón secundario y seleccione Exportar 2 elementos.

  5. Dé al archivo de certificado un nombre único para usarlo con XenMobile. No incluya espacios en el nombre. A continuación, elija una ubicación de carpeta para guardar el certificado, seleccione el formato de archivo PFX y haga clic en Guardar.

  6. Escriba una contraseña para exportar el certificado. Citrix recomienda usar una contraseña única y segura. Además, compruebe que el certificado y la contraseña se encuentren en un lugar seguro para su uso y referencia posteriores.

  7. La aplicación Acceso a Llaveros le solicitará la contraseña de inicio de sesión o el llavero seleccionado. Escriba la contraseña y, a continuación, haga clic en Aceptar. Ahora, el certificado guardado está listo para su uso con XenMobile Server.

  8. Para continuar, consulte Importar un certificado APNs en XenMobile.

Crear un archivo PKCS #12 mediante Microsoft IIS

Importante:

Use el mismo servidor IIS para esta tarea que el que utilizó para generar la solicitud de firma de certificado.

  1. Abra Microsoft IIS.

  2. Haga clic en el icono Certificados de servidor.

  3. En la ventana Certificados de servidor, haga clic en Completar solicitud de certificado.

  4. Busque el archivo Certificate.pem de Apple. Escriba un nombre descriptivo o el nombre del certificado y haga clic en Aceptar. No incluya espacios en el nombre.

  5. Seleccione el certificado que identificó en el paso 4 y, a continuación, haga clic en Exportar.

  6. Especifique una ubicación y un nombre de archivo para el certificado PFX, así como una contraseña, y, a continuación, haga clic en Aceptar.

    Necesita la contraseña del certificado para importarlo a XenMobile.

  7. Copie el certificado PFX al servidor en el que se instalará XenMobile.

  8. Para continuar, consulte Importar un certificado APNs en XenMobile.

Creación de un archivo PKCS #12 mediante OpenSSL

Si utiliza OpenSSL para crear una solicitud de firma de certificado, también puede usar OpenSSL para crear un certificado APNs PFX.

  1. En un símbolo del sistema o shell, ejecute este comando. Customer.privatekey.pem es la clave privada de su solicitud de firma de certificado. APNs_Certificate.pem es el certificado que acaba de recibir de Apple.

    openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx

  2. Escriba una contraseña para el archivo de certificado de extensión PFX. Recuerde esta contraseña, porque necesitará volver a utilizarla cuando cargue el certificado en XenMobile.

  3. Tome nota de la ubicación del archivo de certificado PFX. Copie el archivo a XenMobile Server para poder usar la consola de XenMobile para cargar el archivo.

  4. Para continuar, importe un certificado APNs en XenMobile, como se describe en la sección siguiente.

Importar un certificado APNs en XenMobile

Después de recibir el nuevo certificado APNs, importe ese certificado en XenMobile, ya sea para agregar el certificado por primera vez o para reemplazar un certificado existente.

  1. En la consola de XenMobile, haga clic en Parámetros > Certificados.

  2. Haga clic en Importar > Almacén de claves.

  3. En Usar como, elija APNs.

  4. Busque el archivo P12 en su equipo.

  5. Escriba la contraseña y, a continuación, haga clic en Importar.

Para obtener más información acerca de los certificados en XenMobile, consulte Certificados y autenticación.

Para renovar un certificado APNs

Importante:

Si usa otro ID de Apple para el proceso de renovación, deberá volver a inscribir los dispositivos de usuario.

Para renovar un certificado APNs, siga los pasos necesarios para crear un certificado y, a continuación, vaya al Portal de certificados push de Apple. Utilice ese portal para cargar el nuevo certificado. Después de iniciar sesión, aparece el certificado existente o un certificado importado desde su cuenta anterior de desarrollador de Apple.

En el portal de certificados, la única diferencia cuando se renueva el certificado es que tiene que hacer clic en Renew. Debe tener una cuenta de desarrollador en el portal de certificados para acceder al sitio. Para renovar el certificado, utilice el mismo nombre de organización y el mismo ID de Apple.

Para determinar cuándo caduca su certificado APNs, en la consola de XenMobile, vaya a Parámetros > Certificados. Si el certificado caduca, no lo revoque.

  1. Genere una solicitud CSR mediante Microsoft IIS, Acceso a Llaveros (macOS) u OpenSSL. Para obtener más información sobre cómo generar una solicitud CSR, consulte Crear una solicitud de firma de certificado.

  2. En su explorador web, vaya a Endpoint Management Tools. A continuación, haga clic en Request push notification certificate signature.

  3. Haga clic en + Upload the CSR.

  4. En el cuadro de diálogo, vaya a la solicitud CSR y haga clic en Open y Sign.

  5. Cuando reciba un archivo .plist, guárdelo.

  6. En el título del paso 3, haga clic en Apple Push Certificates Portal e inicie sesión.

  7. Seleccione el certificado que se va a renovar y, a continuación, haga clic en Renew.

  8. Cargue el archivo .plist. Recibirá un archivo PEM de salida. Guarde el archivo PEM.

  9. Con ese archivo PEM, complete la solicitud CSR (de acuerdo con el método que usó para crear la CSR en el Paso 1).

  10. Exporte el certificado como un archivo PFX.

En la consola de XenMobile, importe el archivo PFX y complete la configuración de este modo:

  1. Vaya a Parámetros > Certificados > Importar.
  2. En el menú Importar, elija Almacén de claves.
  3. En el menú Tipo de almacén de claves, elija PKCS #12.
  4. En Usar como, elija APNs.

    Cuadro de diálogo Importar certificado

  5. Para el Archivo de almacén de claves, haga clic en Examinar y vaya al archivo.
  6. En Contraseña, escriba la contraseña del certificado.
  7. Puede escribir una descripción opcional.
  8. Haga clic en Importar.

XenMobile lo redirige a la página Certificados. Se actualizan los campos Nombre, Estado, Válido desde y Válido hasta.