Certificados APNs

Para inscribir y administrar dispositivos iOS en XenMobile, debe configurar un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple.

Nota:

  • El certificado APNs de Apple permite la administración de dispositivos móviles a través de Apple Push Network. Si revoca el certificado, ya sea accidental o intencionadamente, ya no podrá administrar los dispositivos.
  • Si ha utilizado el programa iOS Developer Enterprise Program para crear un certificado push para MDM, es posible que deba actuar debido a la migración de los certificados existentes al portal Apple Push Certificate Portal.

Los temas que ofrecen los procedimientos paso a paso se muestran por orden en esta sección. Aquí dispone de un resumen del proceso.

Paso 1: Para Windows, genere una solicitud de firma de certificado en un servidor Windows 2012 R2 o Windows Server 2008 R2 y Microsoft IIS. Para Mac, genere una solicitud CSR en un equipo Mac. Citrix recomienda este método.

Paso 2: Envíe la solicitud CSR a Citrix. Citrix firma la solicitud de firma de certificado con el certificado de firma de administración de dispositivos móviles y devuelve el archivo firmado en un formato .plist.

Paso 3: Envíe la solicitud de firma de certificado firmada a Apple y, a continuación, descargue el certificado APNs de Apple.

Paso 4: Exporte el certificado APNs como un certificado PCKS #12 (.pfx) (en IIS, Mac o SSL).

Paso 5: Importe el certificado APNs en XenMobile.

Información para la migración de certificados push para MDM de Apple

Los certificados push para la administración de dispositivos móviles (MDM), creados en el programa iOS Developer Enterprise Program, se han migrado al portal Apple Push Certificates Portal. Esta migración afecta a la creación de nuevos certificados push para MDM, así como a la renovación, la revocación y la descarga de certificados push para MDM existentes. La migración no afecta a otros certificados APNs (es decir, certificados que no sean MDM).

Si su certificado push para MDM se creó en el seno del programa iOS Developer Enterprise Program, se aplican las siguientes situaciones:

  • El certificado se ha migrado de forma automática para usted.
  • Puede renovar el certificado en el portal Apple Push Certificates Portal sin que esto afecte a los usuarios.
  • Debe usar el programa iOS Developer Enterprise Program para revocar o descargar un certificado que ya existía.

Si los certificados push de MDM no están a punto de caducar, no se requiere ninguna acción. En cambio, si dispone de un certificado push para MDM que caducará pronto, póngase en contacto con el proveedor de soluciones de MDM. A continuación, haga que el Agente del programa iOS Developer Enterprise Program inicie sesión en el portal Apple Push Certificates Portal con su ID de Apple.

Todos los certificados push para MDM nuevos deben crearse en el portal Apple Push Certificates Portal. El programa iOS Developer Enterprise Program ya no permitirá la creación de un ID de aplicación con un identificador de paquete (apartado APNs) que contenga com.apple.mgmt.

Importante:

Debe realizar un seguimiento del ID de Apple usado para crear el certificado. Además, el ID de Apple debe ser un ID de empresa, no un ID personal.

Para crear una solicitud de firma de certificado mediante Microsoft IIS

El primer paso para generar una solicitud de certificado APNs para los dispositivos iOS consiste en crear una solicitud de firma de certificado (CSR). En un servidor Windows 2008 R2 o Windows 2012 R2, puede generar una solicitud CSR mediante Microsoft IIS.

  1. Abra Microsoft IIS.
  2. Haga doble clic en el icono de Certificados de servidor para IIS.
  3. En la ventana Certificados de servidor, haga clic en Crear una solicitud de certificado.
  4. Escriba la información de nombre distintivo (DN) correspondiente y, a continuación, haga clic en Siguiente.
  5. Seleccione el Proveedor de cifrado Microsoft RSA SChannel como proveedor de servicios de cifrado. Asimismo, seleccione 2048 para la longitud en bits y, a continuación, haga clic en Siguiente.
  6. Escriba un nombre de archivo y especifique una ubicación para guardar la solicitud de firma de certificado y, a continuación, haga clic en Finalizar.

Para crear una solicitud de firma de certificado en un equipo Mac

  1. En un equipo Mac con macOS, en Aplicaciones > Utilidades, inicie la aplicación Acceso a Llaveros.
  2. Abra el menú Acceso a Llaveros y, a continuación, haga clic en Preferencias.
  3. Haga clic en la ficha Certificados, cambie las opciones de OCSP y CRL a No y, a continuación, cierre la ventana “Preferencias”.
  4. En el menú Acceso a Llaveros, haga clic en Asistente para Certificados > Solicitar un certificado de una autoridad de certificación.
  5. El Asistente para Certificados solicitará que introduzca la información siguiente:
    • Dirección de correo electrónico: Dirección de correo electrónico perteneciente a la cuenta de la persona o del rol responsable de administrar el certificado.
    • Nombre común: Indique el nombre común como el nombre de host y el nombre de dominio. Suele ser similar a “www.sitioweb.com” o “sitioweb.com”. El nombre común debe ser el mismo que la dirección Web a la que accede al conectarse a un sitio.
    • Dirección de correo de la CA: Dirección de correo electrónico de la entidad de certificación.
  6. Seleccione las opciones Se guarda en el disco y Permitirme especificar la información del par de llaves y, a continuación, haga clic en Continuar.
  7. Asigne y escriba un nombre para el archivo de solicitud de firma de certificado, guárdelo en el equipo y, a continuación, haga clic en Guardar.
  8. Para especificar la información del par de claves, seleccione un Tamaño de la clave de 2048 bits y el Algoritmo RSA. A continuación, haga clic en Continuar. El archivo de solicitud de firma de certificado está listo para su carga como parte del proceso de certificado APNs.
  9. Haga clic en Aceptar cuando el Asistente para Certificados haya terminado el proceso de solicitud de la firma de certificado.

Para crear una solicitud de firma de certificado mediante OpenSSL

Si no puede usar un equipo con Mac o un servidor Windows admitido junto con Microsoft IIS para generar una solicitud CSR, puede usar OpenSSL.

Si quiere usar OpenSSL para crear una solicitud CSR, primero debe descargar e instalar OpenSSL desde el sitio Web de OpenSSL.

  1. En el equipo donde se instaló OpenSSL, ejecute el siguiente comando desde el shell o del símbolo del sistema.

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. Aparece el siguiente mensaje con información pertinente para asignar nombres de certificado. Escriba la información tal y como se indica.

    You are about to be asked to enter information that will be incorporated into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    
  3. En el siguiente mensaje, escriba una contraseña para la clave privada de la solicitud CSR.

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    

Para firmar una solicitud de firma de certificado

Antes de enviar el certificado a Apple, envíelo a Citrix para que lo firme. De este modo, el certificado se podrá usar con XenMobile.

  1. En el explorador Web, vaya al sitio Web XenMobile APNs CSR Signing.

  2. Haga clic en Upload the CSR.

  3. Busque y seleccione el certificado.

    El certificado debe estar en el formato PEM o TXT.

  4. En la página XenMobile APNs CSR Signing, haga clic en Sign. La solicitud se firma y se guarda automáticamente en la carpeta de descargas definida.

Para enviar la solicitud de firma de certificado firmada a Apple para obtener el certificado APNs

Después de recibir la solicitud de firma de certificado de Citrix, debe enviarla a Apple para obtener el certificado APNs.

Nota:

Algunos usuarios han informado de problemas para iniciar sesión en el portal de certificados push de Apple. Como alternativa, puede iniciar sesión en el Portal para desarrolladores de Apple antes de ir al enlace identity.apple.com del Paso 1.

  1. En un explorador Web, vaya a https://identity.apple.com/pushcert.

  2. Haga clic en Create a Certificate.

  3. Si es la primera vez que crea un certificado con Apple, marque la casilla I have read and agree to these terms and conditions y, a continuación, haga clic en Accept.

  4. Haga clic en Choose File, vaya al certificado firmado ubicado en el equipo y, a continuación, haga clic en Upload. Aparece un mensaje de confirmación donde se indica que la carga se ha realizado correctamente.

  5. Haga clic en Download para recuperar el certificado .pem.

    Si está utilizando Internet Explorer y falta la extensión del archivo, haga clic en Cancel dos veces y, a continuación, descárguelo desde la ventana siguiente.

Para crear un certificado APNs con extensión PFX mediante Microsoft IIS

Para usar el certificado APNs de Apple con XenMobile, complete la solicitud de certificado en Microsoft IIS, exporte el certificado como PCKS #12 (.pfx) y, a continuación, importe el certificado APNs en XenMobile.

Importante:

Use el mismo servidor IIS para esta tarea que el que se utilizó para generar la solicitud de firma de certificado.

  1. Abra Microsoft IIS.

  2. Haga clic en el icono de certificados del servidor.

  3. En la ventana Certificados de servidor, haga clic en Completar solicitud de certificado.

  4. Busque el archivo Certificate.pem de Apple. Escriba un nombre descriptivo o el nombre del certificado y haga clic en Aceptar. No incluya espacios en el nombre.

  5. Seleccione el certificado que identificó en el paso 4 y, a continuación, haga clic en Exportar.

  6. Especifique una ubicación y un nombre de archivo para el certificado .pfx, así como una contraseña, y, a continuación, haga clic en Aceptar.

    Necesitará la contraseña del certificado durante la instalación de XenMobile.

  7. Copie el certificado .pfx al servidor en el que se instalará XenMobile.

  8. Inicie sesión como administrador en la consola de XenMobile.

  9. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.

  10. Haga clic en Certificados. Aparecerá la página Certificados.

  11. Haga clic en Importar. Aparecerá el cuadro de diálogo Importar.

  12. En el menú Importar, elija Almacén de claves.

  13. En Usar como, elija APNs.

  14. En Archivo de almacén de claves, seleccione el archivo de almacén de claves que quiere importar. Para ello, haga clic en Examinar y vaya a la ubicación del archivo.

  15. En Contraseña, escriba la contraseña asignada al certificado.

  16. Haga clic en Importar.

Para crear un certificado APNs con extensión .pfx en un equipo Mac

  1. En el mismo equipo Mac con macOS que se ha utilizado para generar la solicitud de firma de certificado, busque el certificado de identidad de producción PEM recibido de Apple.

  2. Haga doble clic en el archivo del certificado para importarlo en el llavero.

  3. Si se le solicita agregar el certificado a un llavero concreto, mantenga seleccionado el llavero predeterminado de inicio de sesión y, a continuación, haga clic en Aceptar. El certificado recién agregado aparecerá en la lista de certificados.

  4. Haga clic en el certificado y, a continuación, en el menú Archivo, haga clic en Exportar para comenzar a exportar el certificado en un formato PCKS #12 (.pfx).

  5. Dé al archivo de certificado un nombre único para usarlo con XenMobile Server. No incluya espacios en el nombre. A continuación, elija una ubicación de carpeta para guardar el certificado, seleccione el formato de archivo .pfx y haga clic en Guardar.

  6. Escriba una contraseña para exportar el certificado. Citrix recomienda usar una contraseña única y segura. Además, compruebe que el certificado y la contraseña se encuentren en un lugar seguro para su uso y referencia posteriores.

  7. La aplicación Acceso a Llaveros le solicitará la contraseña de inicio de sesión o el llavero seleccionado. Escriba la contraseña y, a continuación, haga clic en Aceptar. Ahora, el certificado guardado está listo para su uso con XenMobile Server.

    Nota:

    En caso de que no se conserven ni el equipo ni la cuenta de usuario que se usaron en su momento para generar la solicitud de firma de certificado y para completar el proceso de exportación de certificado, Citrix recomienda guardar o exportar las claves públicas y personales desde el sistema local. De lo contrario, no se podrá acceder a los certificados APNs para volver a usarlos y se deberá repetir el proceso de la solicitud CSR y APNs desde el principio.

Para crear un certificado APNs de extensión PFX mediante OpenSSL

Después de usar OpenSSL para crear una solicitud de firma de certificado (CSR), también puede usar OpenSSL para crear un certificado APNs de extensión .pfx.

  1. En el shell o en el símbolo del sistema, ejecute el siguiente comando.

    openssl pkcs12 -export -in MDM_Zenprise_Certificate.pem -inkey Customer.key.pem -out apns_identity.p12

  2. Escriba una contraseña para el archivo de certificado de extensión .pfx. Recuerde esta contraseña, porque necesitará volver a utilizarla cuando cargue el certificado en XenMobile.

  3. Tome nota de la ubicación del archivo de certificado PFX. Copie el archivo a XenMobile Server para poder usar la consola de XenMobile para cargar el archivo.

Para importar un certificado APNs en XenMobile

Después de solicitar y recibir un nuevo certificado APNs, importe ese certificado en XenMobile, ya sea para agregar el certificado por primera vez o para reemplazar un certificado existente.

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.
  2. Haga clic en Certificados. Aparecerá la página Certificados.
  3. Haga clic en Importar. Aparecerá el cuadro de diálogo Importar.
  4. En el menú Importar, elija Almacén de claves.
  5. En Usar como, elija APNs.
  6. Busque el archivo .p12 en su equipo.
  7. Escriba la contraseña y, a continuación, haga clic en Importar.

Para obtener más información acerca de los certificados en XenMobile, consulte Certificados.

Para renovar un certificado APNs

Para renovar un certificado APNs, realice los mismos pasos que seguiría si creara un certificado. Luego, visite el portal Apple Push Certificates Portal y cargue el certificado nuevo. Después de iniciar sesión, verá el certificado existente, o es posible que vea un certificado que se ha importado desde su cuenta anterior de desarrollador de Apple.

En el portal de certificados, la única diferencia cuando se renueva el certificado es que tiene que hacer clic en Renew. Debe tener una cuenta de desarrollador en el portal de certificados para acceder al sitio. Cuando renueve el certificado, debe usar el mismo nombre de organización e ID de Apple.

Para determinar cuándo caduca su certificado APNs, en la consola de XenMobile, haga clic en Configurar > Parámetros > Certificados. Sin embargo, si el certificado está caducado, no lo revoque.

  1. Genere una solicitud CSR, mediante IIS (Microsoft), OpenSSL o Acceso a Llaveros (macOS).
  2. En el sitio Web XenMobile APNs CSR Signing, marque Request push notification certificate signature.
  3. Haga clic en + Upload the CSR. A continuación, en el cuadro de diálogo, vaya a la solicitud CSR y haga clic en Open y Sign.
  4. Cuando reciba un archivo .plist, guárdelo.
  5. Haga clic en Apple Push Certificate Portal e inicie sesión.
  6. Seleccione el certificado que se va a renovar y haga clic en Renew.
  7. Cargue el archivo .plist. Recibirá un archivo .pem de salida. Guarde el archivo .pem.
  8. Con ese archivo .pem, complete la solicitud CSR (de acuerdo con el método que usó para crear la CSR en el Paso 1).
  9. Exporte el certificado como un archivo .pfx.

En la consola de XenMobile, importe el archivo .pdx y complete la configuración de este modo:

  1. Vaya a Parámetros > Administración de certificados.
  2. En la página Certificados, haga clic en Importar.
  3. En el menú Importar, elija Almacén de claves.
  4. Desde Tipo de almacén de claves, elija PKCS #12.
  5. En Usar como, elija APNs.
  6. Para el Archivo de almacén de claves, haga clic en Examinar y vaya al archivo.
  7. En Contraseña, escriba la contraseña del certificado.
  8. Puede escribir una descripción opcional.
  9. Haga clic en Importar.

XenMobile lo redirige a la página Certificados. Se actualizan los campos Nombre, Estado, Válido desde y Válido hasta.