Citrix Endpoint Management

APNs証明書

Citrix Endpoint ManagementでAppleデバイスを登録して管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書を設定します。 証明書を使用すると、Apple Push Networkを使用してモバイルデバイスを管理できます。

ワークフローの概要:

手順1: 次のいずれかの方法で証明書署名要求(CSR)を作成

手順2: Citrix Endpoint ManagementツールでCSRに署名

手順3: 署名済みCSRをAppleに送信しAPNs証明書を取得

手順4: 手順1で使用したのと同じコンピューターを使用して、CSRを完了し、PKCS #12ファイルをエクスポート

手順5: APNs証明書のCitrix Endpoint Managementへのインポート

手順6: APNs証明書の更新

証明書署名要求の作成

macOSでキーチェーンアクセスを使用してCSRを作成することをお勧めします。 Microsoft IISまたはOpenSSLを使用してCSRを作成することもできます。

重要:

  • 証明書の作成に使用されたApple IDについて:

    • Apple IDは個人IDではなく会社IDでなければなりません。
    • 証明書の作成に使用したApple IDを書き留めます。
    • 証明書を更新するには、同じ組織名とApple IDを使用します。 別のApple IDを使用して証明書を更新するには、デバイスの再登録が必要です。
  • 証明書を失効させると、過失であっても故意であっても、デバイスを管理できなくなります。

  • iOS Developer Enterprise Programを使用してMobile Device Managerプッシュ証明書を作成した場合:Apple Push Certificates Portalに移行した証明書に必要なアクションを実行してください。

macOSでキーチェーンアクセスを使用するCSRの作成

  1. macOSを実行するコンピューターの[アプリケーション]>[ユーティリティ]で、キーチェーンアクセスアプリを起動します。
  2. [キーチェーンアクセス]メニューで、[証明書アシスタント]>[認証局に証明書を要求]の順に選択します。
  3. 証明書アシスタントにより、次の情報の入力を求められます:
    • メールアドレス: 証明書を管理する個人または役割アカウントのメールアドレス。
    • 共通名: 証明書を管理する個人または役割アカウントの通称。
    • CAのメールアドレス: 認証局のメールアドレス。
  4. [ディスクに保存] をクリックし、[鍵ペア情報を指定] チェックボックスをオンにして、[続ける] をクリックします。
  5. CSRファイルの名前を入力してコンピューターにファイルを保存し、[保存] を選択します。
  6. 鍵ペア情報を指定:[鍵のサイズ] で[2048ビット]を選択し、アルゴリズムに [RSA] を選択してから [続ける] をクリックします。 APNs証明書プロセスの一環としてCSRファイルをアップロードする準備ができました。
  7. 証明書アシスタンスによるCSRプロセスが完了してから [完了] をクリックします。
  8. 続行するには、CSRに署名します

Microsoft IISを使用するCSRの作成

APNs証明書要求を生成するには、まずCSR(証明書署名要求)を作成します。 Windowsの場合は、Microsoft IISを使用してCSRを生成します。

  1. Microsoft IISを開きます。
  2. IISのサーバー証明書アイコンをクリックします。
  3. [サーバー証明書] ウィンドウで、[証明書の要求の作成] をクリックします。
  4. 適切な識別名(DN)情報を入力します。 www.domain.comなどのEndpoint Managementサーバーの完全修飾ドメイン名(FQDN)を入力できます。 [次へ] をクリックします。
  5. [暗号化サービスプロバイダー]で [Microsoft RSA SChannel Cryptographic Provider] を選択して、ビット長として [2048] を選択し、[次へ] をクリックします。
  6. ファイル名を入力してCSRを保存する場所を指定し、[完了] をクリックします。
  7. 続行するには、CSRに署名します

OpenSSLを使用するCSRの作成

macOSデバイスまたはMicrosoft IISを使用してCSRを生成できない場合は、OpenSSLを使用します。 OpenSSLは、OpenSSLのWebサイトからダウンロードしてインストールできます。

  1. OpenSSLをインストールしたコンピューターで、コマンドプロンプトまたはシェルから次のコマンドを実行します。

    openssl req -new -keyout Customer.key.pem -out CompanyAPNScertificate.csr -newkey rsa:2048

  2. 証明書の名前に関する次のメッセージが表示されます。 要求された情報を入力します。

      You are about to be asked to enter information that will be incorporated into your certificate request.
      What you are about to enter is what is called a Distinguished Name or a DN.
      There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
      -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    <!--NeedCopy-->
    
  3. 次のメッセージが表示されたら、CSRの秘密キーのパスワードを入力します。

      Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    <!--NeedCopy-->
    
  4. 続行するには、次のセクションの説明に従って、CSRに署名します。

CSRへの署名

Citrix Endpoint Managementで証明書を使用するには、証明書をCitrixに送信して署名を求める必要があります。 モバイルデバイス管理の署名証明書を使用して署名された.plist形式のファイルが返送されます。

  1. 使用しているブラウザーでCitrix Endpoint ManagementツールWebサイトに移動し、[Request push notificationcertificate signature] を選択します。

    Citrix Endpoint Managementツールページ

  2. 新しい証明書の作成ページで、[Upload the CSR] を選択します。

    [Upload CSR]オプション

  3. 証明書に移動して選択します。

重要:

証明書は「.pem/txt」形式である必要があります。 必要に応じて、ファイル名を右クリックして名前を変更し、証明書のファイル拡張子を.pemまたは.txtに変更します。

  1. Citrix Endpoint Management APNs CSR署名ページで、[署名] をクリックします。 CSRが署名されて、構成されているダウンロードフォルダーに自動的に保存されます。

  2. 続行するには、次のセクションの説明に従って、署名入りCSRを送信します。

署名済みCSRをAppleに送信しAPNs証明書を取得

署名入りCSR(Certificate Signing Request:証明書署名要求)をCitrixから受け取ったら、そのCSRをAppleに送信して、Citrix Endpoint Managementへのインポートに必要なAPNs証明書を取得します。

一部のユーザーから、Apple Push Portalへのログイン時の問題が報告されています。 代わりに、Apple Developer Portalにログオンすることもできます。 その後、次の手順を実行できます。

  1. ブラウザーでApple Push Certificates Portalに移動します。

  2. [証明書識別情報を作成] をクリックします。

  3. Appleで初めて証明書を作成する場合:[利用規約を読みました。内容に同意します。]チェックボックスをオンにして、[同意します]をクリックします。

  4. [ファイルの選択] をクリックし、コンピューター上の署名入りCSRを指定して [アップロード] をクリックします。 アップロードが成功したことを示す確認メッセージが表示されます。

  5. [ダウンロード] をクリックして、.pem証明書を取得します。

  6. 続行するには、CSRを完了し、次のセクションの説明に従って、PKCS #12ファイルをエクスポートします。

CSRの完了とPKCS #12ファイルのエクスポート

AppleからAPNs証明書を受け取ったら、キーチェーンアクセス、Microsoft IIS、またはOpenSSLに戻り、証明書をPCKS #12ファイルにエクスポートします。

PKCS #12ファイルには、APNs証明書ファイルと秘密キーが含まれています。 通常、PFXファイルの拡張子は.pfxまたは.p12です。 .pfxファイルと.p12ファイルは、交換して使用できます。

重要:

Citrixは、個人キーと公開キーを保存するか、ローカルシステムからエクスポートすることをお勧めします。 これらのキーは、再利用するためにAPNs証明書にアクセスするときに必要です。 同じキーがないと、証明書は無効になり、CSRとAPNsのプロセス全体を繰り返す必要があります。

macOSでキーチェーンアクセスを使用するPKCS #12ファイルの作成

重要:

このタスクには、CSRを生成するために使用したのと同じmacOSデバイスを使用します。

  1. このデバイスで、Appleから受け取ったProduction identity(.pem)証明書を検索します。

  2. キーチェーンアクセスアプリケーションを起動し、[ログイン]>[自分の証明書]タブに移動します。 Product identity証明書をドラッグして、開いているウィンドウにドロップします。

  3. 証明書をクリックし、左矢印を展開して、証明書に関連する秘密キーが含まれていることを確認します。

  4. PCKS #12(.pfx)証明書への証明書のエクスポートを開始するには、証明書と秘密キーを選択して右クリックし、[2項目を書き出す] を選択します。

  5. Citrix Endpoint Managementで使用するには、証明書ファイルに一意の名前を付けるようにします。 名前に空白や特殊文字は含めないでください。 次に、保存する証明書のフォルダーの場所を選び、.pfxファイル形式を選択して [保存] をクリックします。

  6. パスワードを入力して証明書をエクスポートします。 Citrixでは一意で強力なパスワードを使用することをお勧めします。 また、後で使用および参照するために証明書とパスワードを安全に保管するようにします。

  7. キーチェーンアクセスアプリによって、ログインパスワードまたは選択したキーチェーンを確認するメッセージが表示されます。 パスワードを入力し、[OK] をクリックします。 Citrix Endpoint Managementサーバーで保存された証明書を使用する準備ができました。

  8. 続行するには、「APNs証明書のCitrix Endpoint Managementへのインポート」を参照してください。

Microsoft IISを使用するPKCS #12ファイルの作成

重要:

このタスクには、CSRを生成するために使用したのと同じIISサーバーを使用します。

  1. Microsoft IISを開きます。

  2. サーバー証明書アイコンをクリックします。

  3. [サーバー証明書] ウィンドウで、[証明書の要求の完了] をクリックします。

  4. AppleのCertificate.pemファイルを指定します。 フレンドリ名または証明書名を入力して [OK] をクリックします。 名前に空白や特殊文字は含めないでください。

  5. 手順4で指定した証明書を選択して [エクスポート] をクリックします。

  6. .pfx証明書の場所とファイル名およびパスワードを指定して [OK] をクリックします。

    Citrix Endpoint Managementにインポートするには、証明書のパスワードが必要です。

  7. .pfx証明書をCitrix Endpoint Managementをインストールするサーバーにコピーします。

  8. 続行するには、「APNs証明書のCitrix Endpoint Managementへのインポート」を参照してください。

OpenSSLを使用するPKCS #12ファイルの作成

OpenSSLを使用してCSRを作成する場合、OpenSSLを使用して.pfx APNs証明書を作成することもできます。

  1. コマンドプロンプトまたはシェルで、次のコマンドを実行します。 Customer.privatekey.pemはCSRからの秘密キー、 APNs_Certificate.pemはAppleから受け取った証明書です。

    openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx

  2. .pfx証明書ファイルのパスワードを入力します。 このパスワードは、証明書をCitrix Endpoint Managementにアップロードするときに再び使用するので覚えておいてください。

  3. .pfx証明書ファイルの場所を確認します。 次に、Citrix Endpoint Managementコンソールからアップロードできるように、このファイルをCitrix Endpoint Managementサーバーにコピーします。

  4. 続行するには、次のセクションの説明に従って、APNs証明書をCitrix Endpoint Managementにインポートします。

APNs証明書のCitrix Endpoint Managementへのインポート

新しいAPNs証明書を受け取ったら: そのAPNs証明書をCitrix Endpoint Managementにインポートして、最初の証明書として追加するか、既存の証明書を置き換えます。

  1. Citrix Endpoint Managementコンソールで、[設定]>[証明書]の順に移動します。

  2. [インポート]>[キーストア]の順にクリックします。

  3. [使用目的] から、[APNs] を選択します。

  4. コンピューターの.pfxファイルまたは.p12ファイルを指定します。

  5. パスワードを入力して、[インポート] をクリックします。

Citrix Endpoint Managementの証明書について詳しくは、「証明書と認証」を参照してください。

APNs証明書の更新

重要:

更新処理に別のApple IDを使用する場合、ユーザーのデバイスを再登録する必要があります。

APNs証明書を更新するには、証明書を作成する手順を実行してから、Apple Push Certificates Portalにアクセスします。 このポータルを使用して、新しい証明書をアップロードします。 ログオンすると、既存の証明書(または、前のApple Developersアカウントからインポートされた証明書)が表示されます。

証明書を更新する場合は、証明書を作成する場合との唯一の違いとして、Certificates Portalで [更新] をクリックします。 Certificates Portalにアクセスするには、このサイトの開発者アカウントが必要です。 証明書を更新するには、同じ組織名とApple IDを使用します。

APNs証明書の有効期限を調べるには、Citrix Endpoint Managementコンソールで[設定]>[証明書]の順に選択します。 証明書の有効期限が切れた場合、その証明書を取り消さないでください。

  1. Microsoft IIS、キーチェーンアクセス(macOS)、またはOpenSSLを使用してCSRを生成します。 CSRの生成について詳しくは、「証明書署名要求の作成」を参照してください。

  2. ブラウザーで、Citrix Endpoint Managementツールに移動します。 次に、[プッシュ通知証明書の署名要求]を選択します。

  3. [+ Upload the CSR] をクリックします。

  4. ダイアログボックスでCSRに移動し、[開く][署名] の順にクリックします。

  5. .plistファイルを受信したら保存します。

  6. 手順3のページで、Apple Push Certificates Portalをクリックしてサインオンします。

  7. 更新する証明書を選択して [更新] をクリックします。

  8. .plistファイルをアップロードします。 出力として.pemファイルを受信します。 .pemファイルを保存します。

  9. この.pemファイルを使用し、(手順1でCSRを作成するために使用した方法に従って)CSRを完了します。

  10. 証明書を.pfxファイルとしてエクスポートします。

Citrix Endpoint Managementコンソールで.pfxファイルをインポートし、以下の手順を実行して構成を完了します:

  1. [設定]>[証明書]>[インポート]の順に選択します。
  2. [インポート] メニューから、[キーストア] を選択します。
  3. [キーストアの種類] メニューから、[PKCS#12] を選択します。
  4. [使用目的] から、[APNs] を選択します。

    証明書の[インポート]ダイアログボックス

  5. [キーストアファイル] では、[ブラウザー] をクリックしてファイルに移動します。
  6. [パスワード] ボックスに、証明書のパスワードを入力します。
  7. 必要に応じて [説明] に入力します。
  8. [インポート] をクリックします。

Citrix Endpoint Managementで [証明書] ページにリダイレクトされます。 [名前][状態][有効期限開始]、および [有効期限終了] フィールドが更新されます。

APNs証明書