APN証明書

Endpoint ManagementでAppleデバイスを登録して管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書を設定します。証明書を使用すると、Apple Push Networkを使用してモバイルデバイスを管理できます。

ワークフローの概要:

手順1: 証明書署名要求の作成 (CSR)次のいずれかの方法を使用する:

手順2: CSRに署名する Endpoint Managementツールで

手順3: 署名入りCSRをAppleに送信してAPNs証明書を取得する

手順4: 手順1で使用したのと同じコンピューターを使用して、CSRを完了し、PKCS #12ファイルをエクスポートする

手順5: APNs証明書をEndpoint Managementにインポートする

手順6: APNs証明書を更新する

証明書署名要求の作成

macOSでキーチェーンアクセスを使用してCSRを作成することをお勧めします。Microsoft IISまたはOpenSSLを使用してCSRを作成することもできます。

重要:

  • 証明書の作成に使用されたApple IDについて:
    • Apple IDは個人IDではなく会社IDでなければなりません。
    • 証明書の作成に使用したApple IDを書き留めます。
    • 証明書を更新するときは、同じ組織名とApple IDを使用します。別のApple IDを使用して証明書を更新するには、デバイスの再登録が必要です。
  • 証明書を失効させると、過失であっても故意であっても、デバイスを管理できなくなります。

  • iOS Developer Enterprise Programを使用してMobile Device Managerプッシュ証明書を作成した場合:Apple Push Certificates Portalに移行した証明書に必要なアクションを実行してください。

macOSでキーチェーンアクセスを使用するCSRの作成

  1. macOSを実行するコンピューターの [アプリケーション]>[ユーティリティ] で、キーチェーンアクセスアプリを起動します。
  2. [キーチェーンアクセス] メニューで、[証明書アシスタント]>[認証局に証明書を要求] の順に選択します。
  3. 証明書アシスタントにより、次の情報の入力を求められます:
    • メールアドレス: 証明書の管理を担当する個人または役割アカウントのメールアドレス。
    • 共通名: 証明書の管理を担当する個人または役割アカウントの通称。
    • CAのメールアドレス: 認証局のメールアドレス。
  4. [ディスクに保存] をクリックし、[鍵ペア情報を指定] チェックボックスをオンにして、[続ける] をクリックします。
  5. CSRファイルの名前を入力してコンピューターにファイルを保存し、[保存] を選択します。
  6. 鍵ペア情報を指定:[鍵のサイズ] で[2048ビット]を選択し、アルゴリズムに [RSA] を選択してから [続ける] をクリックします。APN証明書プロセスの一環としてCSRファイルをアップロードする準備ができました。
  7. 証明書アシスタンスによるCSRプロセスが完了してから [完了] をクリックします。
  8. 続行するには、CSRに署名します

Microsoft IISを使用するCSRの作成

APNs証明書要求を生成するには、まずCSR(証明書署名要求)を作成します。Windowsの場合は、Microsoft IISを使用してCSRを生成します。

  1. Microsoft IISを開きます。
  2. IISのサーバー証明書アイコンをクリックします。
  3. [サーバー証明書] ウィンドウで、[証明書の要求の作成] をクリックします。
  4. 適切な識別名(Distinguished Name:DN)を入力して [次へ] をクリックします。
  5. [暗号化サービスプロバイダー]で [Microsoft RSA SChannel Cryptographic Provider] を選択して、ビット長として [2048] を選択し、[次へ] をクリックします。
  6. ファイル名を入力してCSRを保存する場所を指定し、[完了] をクリックします。
  7. 続行するには、CSRに署名します

OpenSSLを使用するCSRの作成

macOSデバイスまたはMicrosoft IISを使用してCSRを生成できない場合は、OpenSSLを使用します。OpenSSLは、OpenSSLのWebサイトからダウンロードしてインストールできます。

  1. OpenSSLをインストールしたコンピューターで、コマンドプロンプトまたはシェルから次のコマンドを実行します。

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. 証明書の名前に関する次のメッセージが表示されます。要求された情報を入力します。

    You are about to be asked to enter information that will be incorporated into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    
  3. 次のメッセージが表示されたら、CSRの秘密キーのパスワードを入力します。

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    
  4. 続行するには、次のセクションの説明に従って、CSRに署名します。

CSRへの署名

Endpoint Managementで証明書を使用するには、証明書をCitrixに送信して署名を求める必要があります。モバイルデバイス管理の署名証明書を使用して署名された.plist形式のファイルが返送されます。

  1. 使用しているブラウザーでEndpoint ManagementツールWebサイトに移動し、[Request push notificationcertificate signature] を選択します。

    Endpoint Managementツールページ

  2. 新しい証明書の作成ページで、[Upload the CSR] を選択します。

    [Upload CSR]オプション

  3. 証明書に移動して選択します。

    証明書は「.pem/txt」形式である必要があります。

  4. Endpoint Management APNs CSR署名ページで、[署名] をクリックします。CSRが署名されて、構成されているダウンロードフォルダーに自動的に保存されます。

  5. 続行するには、次のセクションの説明に従って、署名入りCSRを送信します。

署名入りCSRのAppleへの送信とAPNs証明書の取得

署名入りCSR(Certificate Signing Request:証明書署名要求)をCitrixから受け取ったら、そのCSRをAppleに送信して、Endpoint Managementへのインポートに必要なAPNs証明書を取得します。

注:

一部のユーザーから、Apple Push Portalへのログイン時の問題が報告されています。代わりの手段として、Apple Developer Portalにログオンすることもできます。その後、次の手順を実行できます。

  1. Webブラウザーで、Apple Push Certificates Portalに移動します。

  2. [証明書識別情報を作成] をクリックします。

  3. Appleで初めて証明書を作成する場合:[利用規約を読みました。内容に同意します。] チェックボックスをオンにして、[同意します] をクリックします。

  4. [ファイルの選択] をクリックし、コンピューター上の署名入りCSRを指定して [アップロード] をクリックします。アップロードが成功したことを示す確認メッセージが表示されます。

  5. [ダウンロード] をクリックして、.pem証明書を取得します。

    Internet Explorerを使用していて、ファイル拡張子がない場合は、[キャンセル] を2回クリックして、次のウィンドウからダウンロードします。

  6. 続行するには、CSRを完了し、次のセクションの説明に従って、PKCS #12ファイルをエクスポートします。

CSRの完了とPKCS #12ファイルのエクスポート

AppleからAPNs証明書を受け取ったら、キーチェーンアクセス、Microsoft IIS、またはOpenSSLに戻り、証明書をPCKS #12ファイルにエクスポートします。

PKCS #12ファイルには、APNs証明書ファイルと秘密キーが含まれています。通常、PFXファイルの拡張子は.pfxまたは.p12です。.pfxファイルと.p12ファイルは、交換して使用できます。

重要:

Citrixは、個人キーと公開キーを保存するか、ローカルシステムからエクスポートすることをお勧めします。これらのキーは、再利用するためにAPNs証明書にアクセスするときに必要です。同じキーがないと、証明書は無効になり、CSRとAPNsのプロセス全体を繰り返す必要があります。

macOSでキーチェーンアクセスを使用するPKCS #12ファイルの作成

重要:

このタスクには、CSRを生成するために使用したのと同じmacOSデバイスを使用します。

  1. このデバイスで、Appleから受け取ったProduction identity(.pem)証明書を検索します。

  2. キーチェーンアクセスアプリケーションを起動し、[ログイン]>[自分の証明書] タブに移動します。Product identity証明書をドラッグして、開いているウィンドウにドロップします。

  3. 証明書をクリックし、左矢印を展開して、証明書に関連する秘密キーが含まれていることを確認します。

  4. PCKS #12(.pfx)証明書への証明書のエクスポートを開始するには、証明書と秘密キーを選択して右クリックし、[2項目を書き出す] を選択します。

  5. Endpoint Managementで使用するには、証明書ファイルに一意の名前を付けるようにします。名前に空白や特殊文字は含めないでください。次に、保存する証明書のフォルダーの場所を選び、.pfxファイル形式を選択して [保存] をクリックします。

  6. パスワードを入力して証明書をエクスポートします。一意で強力なパスワードを使用することをお勧めします。また、後で使用および参照するために証明書とパスワードを安全に保管するようにします。

  7. キーチェーンアクセスアプリによって、ログインパスワードまたは選択したキーチェーンを確認するメッセージが表示されます。パスワードを入力し、[OK] をクリックします。Endpoint Managementサーバーで保存された証明書を使用する準備ができました。

  8. 続行するには、「APNs証明書のEndpoint Managementへのインポート」を参照してください 。

Microsoft IISを使用するPKCS #12ファイルの作成

重要:

このタスクには、CSRを生成するために使用したのと同じIISサーバーを使用します。

  1. Microsoft IISを開きます。

  2. サーバー証明書アイコンをクリックします。

  3. [サーバー証明書] ウィンドウで、[証明書の要求の完了] をクリックします。

  4. AppleのCertificate.pemファイルを指定します。フレンドリ名または証明書名を入力して [OK] をクリックします。名前に空白や特殊文字は含めないでください。

  5. 手順4で指定した証明書を選択して [エクスポート] をクリックします。

  6. .pfx証明書の場所とファイル名およびパスワードを指定して [OK] をクリックします。

    Endpoint Managementにインポートするには、証明書のパスワードが必要です。

  7. .pfx証明書をEndpoint Managementをインストールするサーバーにコピーします。

  8. 続行するには、「APNs証明書のEndpoint Managementへのインポート」を参照してください 。

OpenSSLを使用するPKCS #12ファイルの作成

OpenSSLを使用してCSRを作成する場合、OpenSSLを使用して.pfx APNs証明書を作成することもできます。

  1. コマンドプロンプトまたはシェルで、次のコマンドを実行します。Customer.privatekey.pemはCSRからの秘密キー、APNs_Certificate.pemはAppleから受け取った証明書です。

    openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx

  2. .pfx証明書ファイルのパスワードを入力します。このパスワードは、証明書をEndpoint Managementにアップロードするときに再び使用するので覚えておいてください。

  3. .pfx証明書ファイルの場所を確認します。次に、Endpoint Managementコンソールからアップロードできるように、このファイルをEndpoint Managementサーバーにコピーします。

  4. 続行するには、次のセクションの説明に従って、APNs証明書をEndpoint Managementにインポートします。

APNs証明書のEndpoint Managementへのインポート

新しいAPNs証明書を受け取ったら: そのAPNs証明書をEndpoint Managementにインポートして、最初の証明書として追加するか、既存の証明書を置き換えます。

  1. Endpoint Managementコンソールで、[設定]>[証明書] の順に選択します。

  2. [インポート]>[キーストア] の順にクリックします。

  3. [使用目的] から、[APNs] を選択します。

  4. コンピューターの.pfxファイルまたは.p12ファイルを指定します。

  5. パスワードを入力して、[インポート] をクリックします。

Endpoint Managementの証明書について詳しくは、「証明書と認証」を参照してください。

APNs証明書の更新

重要:

更新処理に別のApple IDを使用する場合、ユーザーのデバイスを再登録する必要があります。

APNs証明書を更新するには、証明書を作成する手順を実行し、Apple Push Certificates Portalにアクセスします。このポータルを使用して、新しい証明書をアップロードします。ログオンすると、既存の証明書(または、前のApple Developersアカウントからインポートされた証明書)が表示されます。

証明書を更新する場合は、証明書を作成する場合との唯一の違いとして、Certificates Portalで [更新] をクリックします。Certificates Portalにアクセスするには、このサイトの開発者アカウントが必要です。証明書を更新するには、同じ組織名とApple IDを使用します。

APNs証明書の有効期限を調べるには、Endpoint Managementコンソールで [設定]>[証明書] の順に選択します。証明書の有効期限が切れた場合、その証明書を取り消さないでください。

注:

Internet Explorer Webブラウザーを使用しないでください。Internet Explorerでは、手順7で.pemファイルの代わりに.jsonファイルが生成されます。

  1. Microsoft IIS、キーチェーンアクセス(macOS)、またはOpenSSLを使用してCSRを生成します。CSRの生成について詳しくは、「証明書署名要求の作成」を参照してください。

  2. WebブラウザーでEndpoint Managementツールに移動します。次に、[プッシュ通知証明書の署名要求]を選択します。

  3. [+ Upload the CSR] をクリックします。

  4. ダイアログボックスでCSRに移動し、[開く][署名] の順にクリックします。

  5. .plistファイルを受信したら保存します。

  6. 手順3のページで、Apple Push Certificates Portalをクリックしてサインオンします。

  7. 更新する証明書を選択して [更新] をクリックします。

  8. .plistファイルをアップロードします。出力として.pemファイルを受信します。.pemファイルを保存します。

  9. この.pemファイルを使用し、(手順1でCSRを作成するために使用した方法に従って)CSRを完了します。

  10. 証明書を.pfxファイルとしてエクスポートします。

Endpoint Managementコンソールで.pfxファイルをインポートし、以下の手順を実行して構成を完了します:

  1. [設定]>[証明書]>[インポート] の順に選択します。
  2. [インポート] メニューから、[キーストア] を選択します。
  3. [キーストアの種類] メニューから、[PKCS#12] を選択します。
  4. [使用目的] から、[APNs] を選択します。

    証明書の[インポート]ダイアログボックス

  5. [キーストアファイル] では、[ブラウザー] をクリックしてファイルに移動します。
  6. [パスワード] ボックスに、証明書のパスワードを入力します。
  7. 必要に応じて [説明] に入力します。
  8. [インポート] をクリックします。

Endpoint Managementで [証明書] ページにリダイレクトされます。[名前][状態][有効期限開始]、および [有効期限終了] フィールドが更新されます。