APNs証明書
Citrix Endpoint ManagementでAppleデバイスを登録して管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書を設定します。証明書を使用すると、Apple Push Networkを使用してモバイルデバイスを管理できます。
ワークフローの概要:
手順1: 次のいずれかの方法で証明書署名要求(CSR)を作成:
手順2: Citrix Endpoint ManagementツールでCSRに署名
手順3: 署名済みCSRをAppleに送信しAPNs証明書を取得
手順4: 手順1で使用したのと同じコンピューターを使用して、CSRを完了し、PKCS #12ファイルをエクスポート:
手順5: APNs証明書のCitrix Endpoint Managementへのインポート
手順6: APNs証明書の更新
証明書署名要求の作成
macOSでキーチェーンアクセスを使用してCSRを作成することをお勧めします。Microsoft IISまたはOpenSSLを使用してCSRを作成することもできます。
重要:
- 証明書の作成に使用されたApple IDについて:
- The Apple ID must be a corporate ID and not a personal ID.
- Record the Apple ID that you use to create the certificate.
- To renew your certificate, use the same organization name and Apple ID. Using a different Apple ID to renew the certificate require device re-enrollment.
証明書を失効させると、過失であっても故意であっても、デバイスを管理できなくなります。
- iOS Developer Enterprise Programを使用してMobile Device Managerプッシュ証明書を作成した場合:Apple Push Certificates Portalに移行した証明書に必要なアクションを実行してください。
macOSでキーチェーンアクセスを使用するCSRの作成
- macOSを実行するコンピューターの [アプリケーション]>[ユーティリティ] で、キーチェーンアクセスアプリを起動します。
- [キーチェーンアクセス] メニューで、[証明書アシスタント]>[認証局に証明書を要求] の順に選択します。
- 証明書アシスタントにより、次の情報の入力を求められます:
- メールアドレス: 証明書を管理する個人または役割アカウントのメールアドレス。
- 共通名: 証明書を管理する個人または役割アカウントの通称。
- CAのメールアドレス: 認証局のメールアドレス。
- [ディスクに保存] をクリックし、[鍵ペア情報を指定] チェックボックスをオンにして、[続ける] をクリックします。
- CSRファイルの名前を入力してコンピューターにファイルを保存し、[保存] を選択します。
- 鍵ペア情報を指定:[鍵のサイズ] で[2048ビット]を選択し、アルゴリズムに [RSA] を選択してから [続ける] をクリックします。APNs証明書プロセスの一環としてCSRファイルをアップロードする準備ができました。
- 証明書アシスタンスによるCSRプロセスが完了してから [完了] をクリックします。
- 続行するには、CSRに署名します。
Microsoft IISを使用するCSRの作成
APNs証明書要求を生成するには、まずCSR(証明書署名要求)を作成します。Windowsの場合は、Microsoft IISを使用してCSRを生成します。
- Microsoft IISを開きます。
- IISのサーバー証明書アイコンをクリックします。
- [サーバー証明書] ウィンドウで、[証明書の要求の作成] をクリックします。
- 適切な識別名(DN)情報を入力します。たとえば、
www.domain.com
などのCitrix Endpoint Managementサーバーの完全修飾ドメイン名(FQDN)を入力できます。[次へ] をクリックします。 - [暗号化サービスプロバイダー]で [Microsoft RSA SChannel Cryptographic Provider] を選択して、ビット長として [2048] を選択し、[次へ] をクリックします。
- ファイル名を入力してCSRを保存する場所を指定し、[完了] をクリックします。
- 続行するには、CSRに署名します。
OpenSSLを使用するCSRの作成
macOSデバイスまたはMicrosoft IISを使用してCSRを生成できない場合は、OpenSSLを使用します。OpenSSLは、OpenSSLのWebサイトからダウンロードしてインストールできます。
-
OpenSSLをインストールしたコンピューターで、コマンドプロンプトまたはシェルから次のコマンドを実行します。
openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048
-
証明書の名前に関する次のメッセージが表示されます。要求された情報を入力します。
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:CA Locality Name (eg, city) []:RWC Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer Organizational Unit Name (eg, section) [:Marketing Common Name (eg, YOUR name) []:John Doe Email Address []:john.doe@customer.com <!--NeedCopy-->
-
次のメッセージが表示されたら、CSRの秘密キーのパスワードを入力します。
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: <!--NeedCopy-->
-
続行するには、次のセクションの説明に従って、CSRに署名します。
CSRへの署名
Citrix Endpoint Managementで証明書を使用するには、証明書をCitrixに送信して署名を求める必要があります。Citrixはモバイルデバイス管理の署名証明書を使用してCSRに署名し、.plist
形式の署名ファイルを返送します。
-
使用しているブラウザーでCitrix Endpoint ManagementツールWebサイトに移動し、[Request push notificationcertificate signature] を選択します。
-
新しい証明書の作成ページで、[Upload the CSR] を選択します。
-
証明書に移動して選択します。
重要:
証明書は.pemまたは.txt形式である必要があります。必要に応じて、ファイル名を右クリックして名前を変更し、証明書のファイル拡張子を.pemまたは.txtに変更します。
-
Citrix Endpoint Management APNs CSR署名ページで、[署名] をクリックします。CSRが署名されて、構成されているダウンロードフォルダーに自動的に保存されます。
-
続行するには、次のセクションの説明に従って、署名入りCSRを送信します。
署名済みCSRをAppleに送信しAPNs証明書を取得
署名入りCSR(Certificate Signing Request:証明書署名要求)をCitrixから受け取ったら、そのCSRをAppleに送信して、Citrix Endpoint Managementへのインポートに必要なAPNs証明書を取得します。
注:
一部のユーザーから、Apple Push Portalへのログイン時の問題が報告されています。代わりに、Apple Developer Portalにログオンすることもできます。その後、次の手順を実行できます。
-
ブラウザーでApple Push Certificates Portalに移動します。
-
[証明書識別情報を作成] をクリックします。
-
Appleで初めて証明書を作成する場合:[利用規約を読みました。内容に同意します。] チェックボックスをオンにして、[同意します] をクリックします。
-
[ファイルの選択] をクリックし、コンピューター上の署名入りCSRを指定して [アップロード] をクリックします。アップロードが成功したことを示す確認メッセージが表示されます。
-
[ダウンロード] をクリックして、.pem証明書を取得します。
-
続行するには、CSRを完了し、次のセクションの説明に従って、PKCS #12ファイルをエクスポートします。
CSRの完了とPKCS #12ファイルのエクスポート
AppleからAPNs証明書を受け取ったら、キーチェーンアクセス、Microsoft IIS、またはOpenSSLに戻り、証明書をPCKS #12ファイルにエクスポートします。
PKCS #12ファイルには、APNs証明書ファイルと秘密キーが含まれています。通常、PFXファイルの拡張子は.pfxまたは.p12です。.pfxファイルと.p12ファイルは、交換して使用できます。
重要:
Citrixは、個人キーと公開キーを保存するか、ローカルシステムからエクスポートすることをお勧めします。これらのキーは、再利用するためにAPNs証明書にアクセスするときに必要です。同じキーがないと、証明書は無効になり、CSRとAPNsのプロセス全体を繰り返す必要があります。
macOSでキーチェーンアクセスを使用するPKCS #12ファイルの作成
重要:
このタスクには、CSRを生成するために使用したのと同じmacOSデバイスを使用します。
-
このデバイスで、Appleから受け取ったProduction identity(.pem)証明書を検索します。
-
キーチェーンアクセスアプリケーションを起動し、[ログイン]>[自分の証明書] タブに移動します。Product identity証明書をドラッグして、開いているウィンドウにドロップします。
-
証明書をクリックし、左矢印を展開して、証明書に関連する秘密キーが含まれていることを確認します。
-
PCKS #12(.pfx)証明書への証明書のエクスポートを開始するには、証明書と秘密キーを選択して右クリックし、[2項目を書き出す] を選択します。
-
Citrix Endpoint Managementで使用するには、証明書ファイルに一意の名前を付けるようにします。名前に空白や特殊文字は含めないでください。次に、保存する証明書のフォルダーの場所を選び、.pfxファイル形式を選択して [保存] をクリックします。
-
パスワードを入力して証明書をエクスポートします。Citrixでは一意で強力なパスワードを使用することをお勧めします。また、後で使用および参照するために証明書とパスワードを安全に保管するようにします。
-
キーチェーンアクセスアプリによって、ログインパスワードまたは選択したキーチェーンを確認するメッセージが表示されます。パスワードを入力し、[OK] をクリックします。Citrix Endpoint Managementサーバーで保存された証明書を使用する準備ができました。
-
続行するには、「APNs証明書のCitrix Endpoint Managementへのインポート」を参照してください。
Microsoft IISを使用するPKCS #12ファイルの作成
重要:
このタスクには、CSRを生成するために使用したのと同じIISサーバーを使用します。
-
Microsoft IISを開きます。
-
サーバー証明書アイコンをクリックします。
-
[サーバー証明書] ウィンドウで、[証明書の要求の完了] をクリックします。
-
AppleのCertificate.pemファイルを指定します。フレンドリ名または証明書名を入力して [OK] をクリックします。名前に空白や特殊文字は含めないでください。
-
手順4で指定した証明書を選択して [エクスポート] をクリックします。
-
.pfx証明書の場所とファイル名およびパスワードを指定して [OK] をクリックします。
Citrix Endpoint Managementにインポートするには、証明書のパスワードが必要です。
-
.pfx証明書をCitrix Endpoint Managementをインストールするサーバーにコピーします。
-
続行するには、「APNs証明書のCitrix Endpoint Managementへのインポート」を参照してください。
OpenSSLを使用するPKCS #12ファイルの作成
OpenSSLを使用してCSRを作成する場合、OpenSSLを使用して.pfx APNs証明書を作成することもできます。
-
コマンドプロンプトまたはシェルで、次のコマンドを実行します。
Customer.privatekey.pem
はCSRからの秘密キー、APNs_Certificate.pem
はAppleから受け取った証明書です。openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx
-
.pfx証明書ファイルのパスワードを入力します。このパスワードは、証明書をCitrix Endpoint Managementにアップロードするときに再び使用するので覚えておいてください。
-
.pfx証明書ファイルの場所を確認します。次に、Citrix Endpoint Managementコンソールからアップロードできるように、このファイルをCitrix Endpoint Managementサーバーにコピーします。
-
続行するには、次のセクションの説明に従って、APNs証明書をCitrix Endpoint Managementにインポートします。
APNs証明書のCitrix Endpoint Managementへのインポート
新しいAPNs証明書を受け取ったら: そのAPNs証明書をCitrix Endpoint Managementにインポートして、最初の証明書として追加するか、既存の証明書を置き換えます。
-
Citrix Endpoint Managementコンソールで、[設定]>[証明書] の順に選択します。
-
[インポート]>[キーストア] の順にクリックします。
-
[使用目的] から、[APNs] を選択します。
-
コンピューターの.pfxファイルまたは.p12ファイルを指定します。
-
パスワードを入力して、[インポート] をクリックします。
Citrix Endpoint Managementの証明書について詳しくは、「証明書と認証」を参照してください。
APNs証明書の更新
重要:
更新処理に別のApple IDを使用する場合、ユーザーのデバイスを再登録する必要があります。
APNs証明書を更新するには、証明書を作成する手順を実行してから、Apple Push Certificates Portalにアクセスします。このポータルを使用して、新しい証明書をアップロードします。ログオンすると、既存の証明書(または、前のApple Developersアカウントからインポートされた証明書)が表示されます。
証明書を更新する場合は、証明書を作成する場合との唯一の違いとして、Certificates Portalで [更新] をクリックします。Certificates Portalにアクセスするには、このサイトの開発者アカウントが必要です。証明書を更新するには、同じ組織名とApple IDを使用します。
APNs証明書の有効期限を調べるには、Citrix Endpoint Managementコンソールで [設定]>[証明書] の順に選択します。証明書の有効期限が切れた場合、その証明書を取り消さないでください。
-
Microsoft IIS、キーチェーンアクセス(macOS)、またはOpenSSLを使用してCSRを生成します。CSRの生成について詳しくは、「証明書署名要求の作成」を参照してください。
-
ブラウザーで、Citrix Endpoint Managementツールに移動します。次に、[プッシュ通知証明書の署名要求]を選択します。
-
[+ Upload the CSR] をクリックします。
-
ダイアログボックスでCSRに移動し、[開く]、[署名] の順にクリックします。
-
.plist
ファイルを受信したら保存します。 -
手順3のページで、Apple Push Certificates Portalをクリックしてサインオンします。
-
更新する証明書を選択して [更新] をクリックします。
-
.plist
ファイルをアップロードします。出力として.pemファイルを受信します。.pemファイルを保存します。 -
この.pemファイルを使用し、(手順1でCSRを作成するために使用した方法に従って)CSRを完了します。
-
証明書を.pfxファイルとしてエクスポートします。
Citrix Endpoint Managementコンソールで.pfxファイルをインポートし、以下の手順を実行して構成を完了します:
- [設定]>[証明書]>[インポート] の順に選択します。
- [インポート] メニューから、[キーストア] を選択します。
- [キーストアの種類] メニューから、[PKCS#12] を選択します。
-
[使用目的] から、[APNs] を選択します。
- [キーストアファイル] では、[ブラウザー] をクリックしてファイルに移動します。
- [パスワード] ボックスに、証明書のパスワードを入力します。
- 必要に応じて [説明] に入力します。
- [インポート] をクリックします。
Citrix Endpoint Managementで [証明書] ページにリダイレクトされます。[名前]、[状態]、[有効期限開始]、および [有効期限終了] フィールドが更新されます。