Citrix Endpoint Management

Certificats APNS

Pour inscrire et gérer des appareils Apple dans Endpoint Management, configurez un certificat Apple Push Notification Service (APNS). Le certificat permet de gérer les appareils mobiles via le réseau Apple Push Network.

Résumé du workflow :

Étape 1 : Créer une demande de signature de certificat (CSR) via l’une de ces méthodes :

Étape 2 : Signer la demande de signature de certificat dans Endpoint Management Tools

Étape 3 : Soumettre la demande de signature de certificat à Apple afin d’obtenir le certificat APNS

Étape 4 : Terminer la demande de signature de certificat et exporter un fichier PKCS #12 à l’aide du même ordinateur utilisé pour l’étape 1 :

Étape 5 : Importer un certificat APNS dans Endpoint Management

Étape 6 : Renouveler un certificat APNS

Créer une demande de signature de certificat

Nous vous recommandons de créer une demande de signature de certificat (CSR) à l’aide de l’application Trousseau d’accès sur macOS. Vous pouvez également créer une demande de signature de certificat à l’aide de Microsoft IIS ou OpenSSL.

Important :

  • Pour l’identifiant Apple ID utilisé pour créer le certificat :
    • L’identifiant Apple ID doit être un ID d’entreprise et non un ID personnel.
    • Enregistrez l’identifiant Apple ID que vous utilisez pour créer le certificat.
    • Pour renouveler votre certificat, utilisez le même nom d’organisation et le même identifiant Apple ID. L’utilisation d’un identifiant Apple ID différent pour renouveler le certificat nécessite une réinscription de l’appareil.
  • Si vous avez délibérément ou accidentellement révoqué le certificat, vous perdrez la possibilité de gérer vos appareils.

  • Si vous avez utilisé iOS Developer Enterprise Program pour créer un certificat push de gestion des appareils mobiles, vous devez gérer les actions concernant les certificats migrés dans le portail Apple Push Certificates Portal.

Créer une demande de signature de certificat à l’aide de l’application Trousseau d’accès sur macOS

  1. Sur un ordinateur exécutant macOS, sous Applications > Utilitaires, démarrez l’application Trousseau d’accès.
  2. Ouvrez le menu Trousseaux d’accès et cliquez sur Assistant de certification > Demander un certificat à une autorité de certification.
  3. L’Assistant de certification vous invite à entrer les informations suivantes :
    • Adresse e-mail : adresse de messagerie de la personne ou du compte de rôle qui est responsable de la gestion du certificat.
    • Nom commun : nom commun de la personne ou compte de rôle qui est responsable de la gestion du certificat.
    • Adresse e-mail de l’AC : adresse de messagerie de l’autorité de certification.
  4. Sélectionnez Enregistrée sur le disque et Me laisser indiquer les informations sur la bi-clé et cliquez sur Continuer.
  5. Entrez un nom pour le fichier CSR, enregistrez le fichier sur votre ordinateur, puis cliquez sur Enregistrer.
  6. Spécifiez les informations de bi-clé en sélectionnant la Dimension de clé de 2048 bits et Algorithme RSA, puis cliquez sur Continuer. Le fichier CSR est prêt à être chargé dans le cadre du processus de certificat APNS.
  7. Cliquez sur Terminé lorsque l’Assistant de certification termine le processus de demande de signature de certificat.
  8. Pour continuer, Signer la demande de signature de certificat.

Créer une demande de signature de certificat à l’aide de Microsoft IIS

La première étape de génération d’une demande de certificat APNS consiste à créer une demande de signature de certificat (CSR). Pour Windows, générez une CSR à l’aide de Microsoft IIS.

  1. Ouvrez Microsoft IIS.
  2. Double-cliquez sur l’icône Certificats de serveur pour IIS.
  3. Dans la fenêtre Certificats de serveur, cliquez sur Créer une demande de certificat.
  4. Tapez les informations de nom unique (DN) appropriées, puis cliquez sur Suivant.
  5. Sélectionnez le Fournisseur de services de chiffrement Microsoft RSA SChannel pour le fournisseur de services de chiffrement et 2048 pour la longueur en bits, puis cliquez sur Suivant.
  6. Entrez un nom de fichier et spécifiez un emplacement pour enregistrer la CSR, puis cliquez sur Terminer.
  7. Pour continuer, Signer la demande de signature de certificat.

Créer une demande de signature de certificat avec OpenSSL

Si vous ne pouvez pas utiliser un appareil macOS ou Microsoft IIS pour générer une demande de signature de certificat, utilisez OpenSSL. Vous pouvez télécharger et installer OpenSSL à partir du site Web OpenSSL.

  1. Sur l’ordinateur sur lequel vous avez installé OpenSSL, exécutez la commande suivante à partir d’une invite de commandes ou de shell.

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. Le message suivant s’affiche pour les informations de nom du certificat. Entrez les informations demandées.

    You are about to be asked to enter information that will be incorporated into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    
  3. Dans le message suivant, entrez un mot de passe pour la clé privée de la demande de signature de certificat.

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    
  4. Pour continuer, signez la demande de signature de certificat comme décrit dans la section suivante.

Signer la demande de signature de certificat

Pour utiliser un certificat avec Endpoint Management, vous devez le soumettre à Citrix à des fins de signature. Citrix signe la demande de signature de certificat (CSR) à l’aide de son certificat de signature de gestion d’appareils mobiles et renvoie le fichier signé au format .plist.

  1. Dans votre navigateur, accédez au site Web Endpoint Management Tools, puis cliquez sur Request push notification certificate signature.

    Page Endpoint Management Tools

  2. Sur la page Creating a new certificate, cliquez sur Upload the CSR.

    Option Upload CSR

  3. Localisez et sélectionnez le certificat.

    Le certificat doit être au format .pem/txt.

  4. Sur la page Endpoint Management APNs CSR Signing, cliquez sur Sign. La demande de signature de certificat est signée et automatiquement enregistrée sur votre dossier de téléchargement configuré.

  5. Pour continuer, soumettez la demande de signature de certificat signée comme décrit dans la section suivante.

Soumettre la demande de signature de certificat à Apple afin d’obtenir le certificat APNS

Après la réception de votre demande de signature de certificat (CSR) signée de Citrix, envoyez-la à Apple pour obtenir le certificat APNS nécessaire à l’importation dans Endpoint Management.

Remarque :

Certains utilisateurs ont signalé des problèmes lors de la connexion au portail Apple Push Portal. Comme solution alternative, vous pouvez vous connecter au portail Apple Developer Portal. Vous pouvez ensuite suivre ces étapes.

  1. Dans un navigateur, accédez au portail Apple Push Certificates Portal.

  2. Cliquez sur Create a Certificate.

  3. La première fois que vous créez un certificat avec Apple, sélectionnez la case I have read and agree to these terms and conditions et cliquez sur Accept.

  4. Cliquez sur Choose File pour charger votre demande de signature de certificat signée, accédez à la demande sur votre ordinateur, puis cliquez sur Upload. Un message de confirmation indique que le chargement a réussi.

  5. Cliquez sur Download pour récupérer le certificat .pem.

    Si vous utilisez Internet Explorer et que l’extension de fichier est manquante, cliquez sur Cancel à deux reprises. Téléchargez le certificat à partir de la fenêtre suivante.

  6. Pour continuer, remplissez la demande de signature de certificat et exportez un fichier PKCS #12 comme décrit dans la section suivante.

Terminer la demande de signature de certificat et exporter un fichier PKCS #12

Après la réception de votre certificat APNS d’Apple, revenez à l’application Trousseau d’accès, Microsoft IIS ou OpenSSL pour exporter le certificat dans un fichier PCKS #12.

Un fichier PKCS #12 contient le fichier de certificat APNS, ainsi que votre clé privée. Les fichiers PFX ont généralement l’extension .pfx ou .p12. Vous pouvez utiliser les fichiers .pfx et .p12 de manière interchangeable.

Important :

Citrix vous recommande d’enregistrer ou d’exporter les clés personnelles et publiques du système local. Vous avez besoin des clés pour accéder aux certificats APNS à réutiliser. Sans ces clés, votre certificat n’est pas valide et vous devez répéter l’intégralité du processus de demande de signature de certificat et le processus APNS.

Créer un fichier PKCS #12 à l’aide de l’application Trousseau d’accès sur macOS

Important :

Utilisez le même appareil macOS pour cette tâche que vous avez utilisé pour générer la demande de signature de certificat.

  1. Sur l’appareil, recherchez le certificat d’identité de produit (.pem) d’Apple.

  2. Démarrez l’application Trousseaux d’accès et accédez à l’onglet Connexion > Mes certificats. Faites glisser et déposez le certificat d’identité de produit dans la fenêtre ouverte.

  3. Cliquez sur le certificat et développez la flèche gauche pour vérifier que le certificat inclut une clé privée associée.

  4. Pour commencer l’exportation du certificat dans un certificat PCKS #12 (.pfx), choisissez le certificat et la clé privée, cliquez avec le bouton droit de la souris, puis sélectionnez Exporter 2 éléments.

  5. Donnez au fichier de certificat un nom unique à utiliser avec Endpoint Management. N’insérez pas d’espace dans le nom. Ensuite, choisissez un emplacement de dossier pour le certificat enregistré, sélectionnez le format du fichier .pfx, puis cliquez sur Enregistrer.

  6. Entrez un mot de passe pour l’exportation du certificat. Citrix vous recommande d’utiliser un mot de passe fort et unique. Par ailleurs, conservez le certificat et le mot de passe de manière sécurisée à des fins d’utilisation ultérieure et de référence.

  7. L’application Trousseau d’accès vous invite à saisir le mot de passe ou le trousseau sélectionné. Tapez le mot de passe, puis cliquez sur OK. Le certificat enregistré est maintenant prêt à être utilisé avec Endpoint Management Server.

  8. Pour continuer, consultez Importer un certificat APNS dans Endpoint Management.

Créer un fichier PKCS #12 à l’aide de Microsoft IIS

Important :

Utilisez le même serveur IIS pour cette tâche que vous avez utilisé pour générer la demande de signature de certificat.

  1. Ouvrez Microsoft IIS.

  2. Cliquez sur l’icône Certificats de serveur.

  3. Dans la fenêtre Certificats de serveur, cliquez sur Terminer la demande de certificat.

  4. Accédez au fichier Certificate.pem d’Apple. Tapez ensuite un nom convivial ou le nom du certificat, puis cliquez sur OK. N’insérez pas d’espace dans le nom.

  5. Sélectionnez le certificat que vous avez identifié dans l’étape 4, puis cliquez sur Exporter.

  6. Spécifiez un emplacement et un nom de fichier pour le certificat .pfx ainsi qu’un mot de passe, puis cliquez sur OK.

    Vous devez fournir le mot de passe du certificat pour l’importer dans Endpoint Management.

  7. Copiez le certificat .pfx sur le serveur sur lequel Endpoint Management sera installé.

  8. Pour continuer, consultez Importer un certificat APNS dans Endpoint Management.

Créer un fichier PKCS #12 à l’aide de OpenSSL

Si vous utilisez OpenSSL pour créer une demande de signature de certificat, vous pouvez également utiliser OpenSSL pour créer un certificat APNS .pfx.

  1. À l’invite de commandes ou shell, exécutez la commande suivante. Customer.privatekey.pem est la clé privée de votre demande de signature de certificat et APNs_Certificate.pem le certificat que vous venez de recevoir d’Apple.

    openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx

  2. Entrez un mot de passe pour le fichier de certificat .pfx. Mémorisez ce mot de passe car vous l’utilisez pour charger le certificat sur Endpoint Management.

  3. Notez l’emplacement du fichier de certificat .pfx. Copiez ensuite le fichier sur Endpoint Management Server, de façon à pouvoir utiliser la console pour charger le fichier.

  4. Pour continuer, importez un certificat APNS dans Endpoint Management comme décrit dans la section suivante.

Importer un certificat APNS dans Endpoint Management

Une fois que vous avez reçu un nouveau certificat APNS, vous devez l’importer dans Endpoint Management pour ajouter le certificat (pour la première fois) ou remplacer un certificat.

  1. Dans la console Endpoint Management, accédez à Paramètres > Certificats.

  2. Cliquez sur Importer > Keystore.

  3. Dans Utiliser en tant que, choisissez APNS.

  4. Accédez au fichier .pfx ou .p12 sur votre ordinateur.

  5. Entrez un mot de passe, puis cliquez sur Importer.

Pour de plus amples informations sur les certificats dans Endpoint Management, consultez la section Certificats et authentification.

Renouveler un certificat APNS

Important :

Si vous utilisez un identifiant Apple ID différent pour le processus de renouvellement, vous devez réinscrire les appareils utilisateur.

Pour renouveler un certificat APNS, procédez comme suit pour créer un certificat, puis accédez au portail Apple Push Certificates Portal. Utilisez ce portail pour charger le nouveau certificat. Une fois la session ouverte, votre certificat existant ou un certificat importé à partir de votre ancien compte Apple Developers apparaît.

Sur la page Certificats Portal, la seule différence lors du renouvellement du certificat est que vous cliquez sur Renew. Vous devez avoir un compte de développeur auprès du Certificates Portal pour accéder au site. Pour renouveler votre certificat, utilisez le même nom d’organisation et le même identifiant Apple ID.

Pour déterminer la date à laquelle votre certificat APNS expire, dans la console Endpoint Management, accédez à Paramètres > Certificats. Si le certificat expire, ne le révoquez pas.

Remarque :

N’utilisez pas de navigateur Internet Explorer. Dans Internet Explorer, l’étape 7 génère un fichier .json au lieu d’un fichier .pem.

  1. Générez une demande de signature de certificat à l’aide de Microsoft IIS, l’application Trousseau d’accès (macOS) ou OpenSSL. Pour plus d’informations sur la génération d’une demande de signature de certificat, consultez la section Créer une demande de signature de certificat.

  2. Dans votre navigateur, accédez à Endpoint Management Tools. Cliquez ensuite sur Request push notification certificate signature.

  3. Cliquez sur +Upload the CSR.

  4. Dans la boîte de dialogue, accédez à la CSR, cliquez sur Open, puis sur Sign.

  5. Lorsque vous recevez un fichier .plist, enregistrez-le.

  6. Dans le titre de l’étape 3, cliquez sur Apple Push Certificates Portal et connectez-vous.

  7. Sélectionnez le certificat que vous souhaitez renouveler et cliquez sur Renew.

  8. Chargez le fichier .plist. Vous devriez recevoir un fichier .pem en sortie. Enregistrez le fichier .pem.

  9. À l’aide du fichier .pem, complétez la CSR (en fonction de la méthode utilisée pour créer la CSR à l’étape 1).

  10. Exportez le certificat en tant que fichier .pfx.

Dans la console Endpoint Management, importez le fichier .pfx et procédez à la configuration comme suit :

  1. Accédez à Paramètres > Certificats > Importer.
  2. Depuis le menu Importer, sélectionnez Keystore.
  3. Dans le menu Type de keystore, choisissez PKCS #12.
  4. Dans Utiliser en tant que, choisissez APNS.

    Boîte de dialogue d'importation de certificat

  5. Sous Fichier de keystore, cliquez sur Parcourir et accédez au fichier.
  6. Sous Mot de passe, entrez le mot de passe du certificat.
  7. Entrez une Description (facultatif).
  8. Cliquez sur Importer.

Endpoint Management vous redirige vers la page Certificats. Les champs Nom, État, Valide du et Valide jusqu’au sont mis à jour.