Product Documentation

APN証明書の要求

Aug 02, 2016

XenMobileでiOSデバイスを登録して管理するには、AppleのApple Push Notificationサービス(APN)証明書を設定および作成する必要があります。 ここでは、APN証明書を要求するための以下の基本的な手順の概要を説明します。

  • Windows Server 2012 R2またはWindows 2008 R2 ServerとMicrosoftインターネットインフォメーションサービス(IIS)、またはMacコンピューターを使用して、CSR(Certificate Signing Request:証明書署名要求)を生成します。
  • CSRにCitrixの署名を受けます。
  • AppleのAPN証明書を要求します。
  • 証明書をXenMobileにインポートします。
注:
  • AppleのAPN証明書を使用すると、Apple Push Networkを使用してモバイルデバイスを管理できます。 証明書を失効させると、過失であっても故意であっても、デバイスを管理できなくなります。
  • iOS Developer Enterprise Programを使用してMobile Device Managerプッシュ証明書を作成した場合は、既存の証明書をApple Push Certificates Portalに移行するためのアクションが必要になることがあります。

手順の概要を説明するトピックを以下に示します。この順番で実行してください。

手順1

IISでCSRを作成する

MacでCSRを作成する

Windows Server 2012 R2またはWindows 2008 R2 ServerとMicrosoft IIS、またはMacコンピューターを使用してCSRを生成します。 この方法を使用することをお勧めします。

手順2

CSRに署名するにはXenMobile APNs CSR署名Webサイト(MyCitrix IDが必要)で、CitrixにCSRを送信します。 モバイルデバイス管理の署名証明書を使用して署名された.plist形式のファイルが返送されます。

手順3

署名済みのCSRをAppleに送信する署名入りCSRをApple Push Certificate Portal(Apple IDが必要)でAppleに送信し、AppleのAPNs証明書をダウンロードします。

手順4

Microsoft IISを使用して.pfx APN証明書を作成するには

Macコンピューターで.pfx APN証明書を作成するには

OpenSSLを使用して.pfx APN証明書を作成する

(IIS、Mac、またはSSLで)APN証明書をPCKS #12(.pfx)証明書としてエクスポートします。

手順5

APN証明書をXenMobileにインポートする証明書をXenMobileにインポートします。

Apple MDMプッシュ通知の移行情報

iOS Developer Enterprise Programで作成されたモバイルデバイス管理(MDM)プッシュ通知は、Apple Push Certificates Portalに移行されています。 この移行により、新しいMDMプッシュ通知の作成と既存のMDMプッシュ通知の更新、失効、およびダウンロードが影響を受けます。 そのほかの(MDM以外の)APN証明書には影響がありません。

MDMプッシュ通知がiOS Developer Enterprise Programで作成された場合、次の状況が当てはまります。

  • 証明書が自動的に移行されます。
  • ユーザーに影響を与えずに証明書をApple Push Certificates Portalで更新できます。
  • 既存の証明書を失効またはダウンロードするには、iOS Developer Enterprise Programを使用する必要があります。

有効期限が近づいているMDMプッシュ通知がない場合は、何もする必要はありません。 有効期限が近づいているMDMプッシュ通知がある場合は、MDMソリューションプロバイダーに問い合わせてください。 次に、iOS Developer ProgramエージェントログをApple IDと共にApple Push Certificates Portalに置きます。

すべての新しいMDMプッシュ通知は、Apple Push Certificates Portalで作成される必要があります。 iOS Developer Enterprise Programでは、com.apple.mgmtを含むBundle Identifier(APNsトピック)を持つApp IDを作成できなくなります。

:証明書の作成に使用されたApple IDの記録をとる必要があります。 さらに、Apple IDは個人IDではなく会社IDでなければなりません。

Microsoft IISを使用してCSRを作成するには

iOSデバイスのAPNs証明書要求を生成するには、まずCSR(Certificate Signing Request:証明書署名要求)を作成します。 Windows 2012 R2またはWindows 2008 R2 Serverでは、Microsoft IISを使用してCSRを生成できます。

  1. Microsoft IISを開きます。
  2. IISのサーバー証明書アイコンをクリックします。
  3. [サーバー証明書]ウィンドウで、[証明書の要求の作成]をクリックします。
  4. 適切な識別名(Distinguished Name:DN)を入力して[次へ]をクリックします。
  5. [暗号化サービスプロバイダー]で[Microsoft RSA SChannel Cryptographic Provider]を選択して、ビット長として[2048]を選択し、[次へ]をクリックします。
  6. ファイル名を入力してCSRを保存する場所を指定し、[完了]をクリックします。

MacコンピューターでCSRを作成するには

  1. Mac OS Xを実行するMacコンピューターの[アプリケーション]>[ユーティリティ]で、キーチェーンアクセスアプリケーションを起動します。
  2. [キーチェーンアクセス]メニューを開いて[環境設定]を選択します。
  3. [証明書]タブをクリックして、[OCSP]および[CRL]のオプションを[切]に変更し、[環境設定]ウィンドウを閉じます。
  4. [キーチェーンアクセス]メニューで、[証明書アシスタント]>[認証局に証明書を要求]の順に選択します。
  5. 証明書アシスタントにより、次の情報の入力を求められます。
    1. ユーザのメールアドレス。 証明書の管理を担当する個人または役割アカウントのメールアドレス。
    2. 通称。 証明書の管理を担当する個人または役割アカウントの通称。
    3. CAのメールアドレス。 認証局のメールアドレス。
  6. [ディスクに保存]をクリックし、[鍵ペア情報を指定]チェックボックスをオンにして、[続ける]をクリックします。
  7. CSRファイルの名前を入力してコンピューターにファイルを保存し、[保存]を選択します。
  8. [鍵のサイズ]で[2048ビット]を選択し、アルゴリズムに[RSA]を選択してから[続ける]をクリックします。 APN証明書プロセスの一環としてCSRファイルをアップロードする準備ができました。
  9. 証明書アシスタンスによるCSRプロセスが完了してから[完了]をクリックします。

OpenSSLを使用してCSRを作成するには

Windows 2012 R2またはWindows 2008 R2 Server とMicrosoftインターネットインフォメーションサービス(IIS)、またはMacコンピューターを使用して、Apple Push Notificationサービス(APNs)証明書のためにAppleに送信するCSR(Certificate Signing Request:証明書署名要求)を生成できない場合は、OpenSSLを使用することができます。

:OpenSSLを使用してCSRを作成するには、まず、OpenSSLのWebサイトからOpenSSLをダウンロードしてインストールする必要があります。

  1. OpenSSLをインストールしたコンピューターで、コマンドプロンプトまたはシェルから次のコマンドを実行します。

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. 証明書の名前に関する次のメッセージが表示されます。 要求された情報を入力します。

    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) []:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com

  3. 次のメッセージが表示されたら、CSRの秘密キーのパスワードを入力します。

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:

  4. 結果のCSRをCitrixに送信します。

署名済みのCSRがメールで返送されてきます。

CSRに署名するには

証明書をAppleに送信する前に、Citrixの署名を受けてXenMobileで使用できるようにする必要があります。

  1. ブラウザーで、XenMobile APNs CSR署名Webサイトに移動します。
  2. [Upload the CSR]をクリックします。
  3. 証明書に移動して選択します。

    :証明書は.pem/txt形式である必要があります。

  4. XenMobile APN CSR署名ページで、[Sign]をクリックします。 CSRが署名されて、構成されているダウンロードフォルダーに自動的に保存されます。

署名入りCSRをAppleに送信してAPN証明書を取得するには

署名入りCSR(Certificate Signing Request:証明書署名要求)をCitrixから受け取ったら、それをAppleに送信してAPN証明書を取得する必要があります。

:一部のユーザーから、Apple Push Portalへのログイン時の問題が報告されています。 代わりの手段として、手順1でidentity.apple.comリンクにアクセスする前に、Apple Developer Portal(http://developer.apple.com/devcenter/ios/index.action)にログオンしても構いません。

  1. Webブラウザーで、https://identity.apple.com/pushcertに移動します。
  2. [証明書識別情報を作成]をクリックします。
  3. Appleで初めて証明書を作成する場合は[利用規約を読みました。内容に同意します。]チェックボックスをオンにして、[同意します]をクリックします。
  4. [ファイルの選択]をクリックし、コンピューター上の署名入りCSRを指定して[アップロード]をクリックします。 アップロードが成功したことを示す確認メッセージが表示されます。
  5. [ダウンロード]をクリックして、.pem証明書を取得します。

    :Internet Explorerを使用していて、ファイル拡張子がない場合は、[キャンセル]を2回クリックして、次のウィンドウからダウンロードします。

Microsoft IISを使用して.pfx APN証明書を作成するには

XenMobileでAppleのAPN証明書を使用するには、Microsoft IISで証明書要求を完成させて、証明書をPCKS #12(.pfx)ファイルとしてエクスポートし、このAPN証明書をXenMobileにインポートする必要があります。

重要:このタスクには、CSRを生成するために使用したサーバーと同じIISサーバーを使用する必要があります。

  1. Microsoft IISを開きます。
  2. サーバー証明書アイコンをクリックします。
  3. [サーバー証明書]ウィンドウで、[証明書の要求の完了]をクリックします。
  4. AppleのCertificate.pemファイルを指定します。 フレンドリ名または証明書名を入力して[OK]をクリックします。
  5. 手順4で指定した証明書を選択して[エクスポート]をクリックします。
  6. .pfx証明書の場所とファイル名およびパスワードを指定して[OK]をクリックします。

    :XenMobileのインストール中にこの証明書のパスワードが必要になります。

  7. .pfx証明書をXenMobileがインストールされるサーバーにコピーします。
  8. XenMobileコンソールに管理者としてサインオンします。
  9. XenMobileコンソールで、右上の歯車アイコンをクリックします。 [Settings]ページが開きます。
  10.  [Certificates]をクリックします。 [Certificates]ページが開きます。
  11.  [Import]をクリックします。 [Import]ダイアログボックスが開きます。
  12. [Import]メニューから、[Keystore]を選択します。
  13. [Use as]から、[APNs]を選択します。
  14. [Keystore]ファイルで、[Browse]をクリックしてインポートするキーストアファイルの場所に移動し、そのファイルを選択します。
  15. [Password]ボックスに、証明書に割り当てられたパスワードを入力します。
  16. [Import]をクリックします。

Macコンピューターで.pfx APN証明書を作成するには

  1. Mac OS Xを実行する、CSRの生成に使用したものと同じMacコンピューターで、Appleから受け取ったProduction identity(.pem)証明書を見つけます。
  2. 証明書ファイルをダブルクリックして、ファイルをキーチェーンにインポートします。
  3. 特定のキーチェーンへの証明書の追加を確認するメッセージが表示された場合は、デフォルトの選択されたログインキーチェーンを維持して[OK]をクリックします。 新たに追加された証明書が証明書の一覧に表示されます。
  4. 証明書をクリックして、[ファイル]メニューで[エクスポート]を選択し、証明書のPCKS #12(.pfx)証明書へのエクスポートを開始します。
  5. XenMobileサーバーで使用するために証明書ファイルに一意の名前を付けて、証明書を保存するフォルダーの場所を選択し、.pfxファイル形式を選択して[保存]をクリックします。
  6. パスワードを入力して証明書をエクスポートします。 一意で強力なパスワードを使用することをお勧めします。 また、後で使用および参照するために証明書とパスワードを安全に保管するようにします。
  7. キーチェーンアクセスアプリケーションによって、ログインパスワードまたは選択したキーチェーンを確認するメッセージが表示されます。 パスワードを入力して、[OK]をクリックします。 XenMobileサーバーで保存された証明書を使用する準備ができました。

    :CSRを生成して証明書のエクスポートプロセスを完了した元のコンピューターとユーザーアカウントを保持しない場合は、ローカルシステムの個人キーと公開キーを保存するかエクスポートすることをお勧めします。 そうしなければ、再利用のためのAPN証明書へのアクセスは無効になり、CSRおよびAPNsプロセス全体を繰り返す必要があります。

OpenSSLを使用して.pfx APNs証明書を作成するには

OpenSSLを使用してCSR(Certificate Signing Request:証明書署名要求)を作成した後、OpenSSLを使用して.pfx APNs証明書を作成することもできます。

  1. コマンドプロンプトまたはシェルで次のコマンドを実行します。

    openssl pkcs12 -export -in MDM_Zenprise_Certificate.pem -inkey Customer.key.pem -out apns_identity.p12

  2. .pfx証明書ファイルのパスワードを入力します。 このパスワードは、証明書をXenMobileにアップロードするときに再び使用するので覚えておいてください。
  3. .pfx証明書ファイルの場所を確認し、XenMobileコンソールを使用してアップロードできるようにXenMobileサーバーにコピーします。

APN証明書をXenMobileにインポートするには

新しいAPN証明書を要求して受け取ったら、そのAPN証明書をXenMobileにインポートして、最初の証明書として追加するか、既存の証明書を置き換えます。

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。 [Settings]ページが開きます。
  2.  [Certificates]をクリックします。 [Certificates]ページが開きます。
  3.  [Import]をクリックします。 [Import]ダイアログボックスが開きます。
  4. [Import]メニューから、[Keystore]を選択します。
  5. [Use as]から、[APNs]を選択します。
  6. コンピューターの.p12ファイルを指定します。
  7. パスワードを入力して、[Import]をクリックします。

XenMobileの証明書について詳しくは、「証明書」セクションを参照してください。

APN証明書を更新するには

APN証明書を更新するには、新しい証明書を作成する場合と同じ手順を実行する必要があります。 その後、Apple Push Certificates Portalにアクセスして、新しい証明書をアップロードします。 ログオンすると、既存の証明書(または、前のApple Developersアカウントからインポートされた証明書)が表示されます。 証明書を更新する場合は、証明書を作成する場合との唯一の違いとして、Certificates Portalで[Renew]をクリックします。 Certificates Portalにアクセスするには、このサイトの開発者アカウントが必要です。

:APN証明書の有効期限を調べるには、[Configure]>[Settings]>[Certificates]の順にクリックします。 ただし、証明書の有効期限が切れていても証明書を失効させないでください。

  1. Microsoftインターネットインフォメーションサービス(Internet Information Services:IIS)を使用してCSRを生成します。
  2. XenMobile APNs CSR署名Webサイトで、新しいCSRをアップロードして[Sign]をクリックします。
  3. 署名済みのCSRをApple Push Certificate PortalでAppleに送信します。
  4. [Renew]をクリックします。
  5. Microsoft IISを使用してPCKS #12(.pfx)APN証明書を生成します。
  6. XenMobileコンソールで新しいAPN証明書を更新します。 コンソールの右上にある歯車アイコンをクリックします。 [Settings]ページが開きます。
  7.  [Certificates]をクリックします。 [Certificates]ページが開きます。
  8.  [Import]をクリックします。 [Import]ダイアログボックスが開きます。
  9. [Import]メニューから、[Keystore]を選択します。
  10. [Use as]から、[APNs]を選択します。
  11. コンピューターの.p12ファイルを指定します。
  12. パスワードを入力して、[Import]をクリックします。