Product Documentation

APN証明書

2018年4月4日

XenMobileでiOSデバイスを登録して管理するには、AppleのAppleプッシュ通知サービス(APNs)証明書を設定します。

注:

  • AppleのAPN証明書を使用すると、Apple Push Networkを使用してモバイルデバイスを管理できます。証明書を失効させると、過失であっても故意であっても、デバイスを管理できなくなります。
  • iOS Developer Enterprise Programを使用してMobile Device Managerプッシュ証明書を作成した場合:既存の証明書をApple Push Certificates Portalに移行するためのアクションが必要になることがあります。

手順の概要を説明するトピックを示します。この順番で実行してください。プロセスの概要を以下に示します。

手順1: Windowsの場合は、Windows Server 2012 R2またはWindows 2008 R2 ServerとMicrosoft IISを使用してCSRを生成します。Macの場合は、MacコンピューターでCSRを生成します。この方法を使用することをお勧めします。

手順2: CitrixにCSRを送信します。モバイルデバイス管理の署名証明書を使用して署名された.plist形式のファイルが返送されます。

手順3: 署名済みのCSRをAppleに送信し、AppleのAPNs証明書をダウンロードします。

手順4:(IIS、Mac、またはSSLで)APNs証明書をPCKS #12(.pfx)証明書としてエクスポートします。

手順5: APNs証明書をXenMobileにインポートします。

Apple MDMプッシュ通知の移行情報

iOS Developer Enterprise Programで作成されたモバイルデバイス管理(MDM)プッシュ通知は、Apple Push Certificates Portalに移行されています。この移行により、新しいMDMプッシュ通知の作成と既存のMDMプッシュ通知の更新、失効、およびダウンロードが影響を受けます。そのほかの(MDM以外の)APN証明書には影響がありません。

MDMプッシュ通知がiOS Developer Enterprise Programで作成された場合、次の状況が当てはまります。

  • 証明書が自動的に移行されます。
  • ユーザーに影響を与えずに証明書をApple Push Certificates Portalで更新できます。
  • 既存の証明書を失効またはダウンロードするには、iOS Developer Enterprise Programを使用する必要があります。

MDMプッシュ通知の有効期限が近づいていない場合、必要な操作はありません。有効期限が近づいているMDMプッシュ通知がある場合は、MDMソリューションプロバイダーに問い合わせてください。次に、iOS Developer ProgramエージェントログをApple IDと共にApple Push Certificates Portalに置きます。

すべての新しいMDMプッシュ通知は、Apple Push Certificates Portalで作成される必要があります。iOS Developer Enterprise Programでは、com.apple.mgmtを含むBundle Identifier(APNsトピック)を持つApp IDを作成できなくなります。

重要:

証明書の作成に使用されたApple IDの記録をとる必要があります。さらに、Apple IDは個人IDではなく会社IDでなければなりません。

Microsoft IISを使用してCSRを作成するには

iOSデバイスのAPNs証明書要求を生成するには、まずCSR(Certificate Signing Request:証明書署名要求)を作成します。Windows 2012 R2またはWindows 2008 R2 Serverでは、Microsoft IISを使用してCSRを生成できます。

  1. Microsoft IISを開きます。
  2. IISのサーバー証明書アイコンをクリックします。
  3. [サーバー証明書]ウィンドウで、[証明書の要求の作成]をクリックします。
  4. 適切な識別名(Distinguished Name:DN)を入力して[次へ]をクリックします。
  5. [暗号化サービスプロバイダー]で [Microsoft RSA SChannel Cryptographic Provider] を選択して、ビット長として [2048] を選択し、[次へ] をクリックします。
  6. ファイル名を入力してCSRを保存する場所を指定し、[完了]をクリックします。

MacコンピューターでCSRを作成するには

  1. macOSを実行するMacコンピューターの [アプリケーション]>[ユーティリティ] で、キーチェーンアクセスアプリケーションを起動します。
  2. [キーチェーンアクセス]メニューを開いて[環境設定]を選択します。
  3. [証明書] タブをクリックして、[OCSP] および [CRL] のオプションを [切] に変更し、[環境設定]ウィンドウを閉じます。
  4. [キーチェーンアクセス] メニューで、[証明書アシスタント]>[認証局に証明書を要求] の順に選択します。
  5. 証明書アシスタントにより、次の情報の入力を求められます。
    • メールアドレス: 証明書の管理を担当する個人または役割アカウントのメールアドレス。
    • 共通名: 証明書の管理を担当する個人または役割アカウントの通称。
    • CAのメールアドレス: 認証局のメールアドレス。
  6. [ディスクに保存]をクリックし、[鍵ペア情報を指定]チェックボックスをオンにして、[続ける]をクリックします。
  7. CSRファイルの名前を入力してコンピューターにファイルを保存し、[保存] を選択します。
  8. 鍵ペア情報を指定:[鍵のサイズ] で[2048ビット]を選択し、アルゴリズムに [RSA] を選択してから [続ける] をクリックします。APN証明書プロセスの一環としてCSRファイルをアップロードする準備ができました。
  9. 証明書アシスタンスによるCSRプロセスが完了してから[完了]をクリックします。

OpenSSLを使用してCSRを作成するには

MacコンピューターまたはサポートされているWindows ServerとMicrosoft IISを使用してCSRを生成できない場合:代わりにOpenSSLを使用できます。

OpenSSLを使用してCSRを作成するには、まず、OpenSSLのWebサイトからOpenSSLをダウンロードしてインストールします。

  1. OpenSSLをインストールしたコンピューターで、コマンドプロンプトまたはシェルから次のコマンドを実行します。

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. 証明書の名前に関する次のメッセージが表示されます。要求された情報を入力します。

    You are about to be asked to enter information that will be incorporated into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    
  3. 次のメッセージが表示されたら、CSRの秘密キーのパスワードを入力します。

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    

CSRに署名するには

証明書を、Appleに送信する前にCitrixに送信し、署名を受けてXenMobileで使用できるようにします。

  1. ブラウザーで、XenMobile APNs CSR署名 Webサイトに移動します。

  2. [Upload the CSR]をクリックします。

  3. 証明書に移動して選択します。

    証明書は.pem/txt形式である必要があります。

  4. XenMobile APNs CSR署名 ページで、[署名] をクリックします。CSRが署名されて、構成されているダウンロードフォルダーに自動的に保存されます。

署名入りCSRをAppleに送信してAPN証明書を取得するには

署名入りCSR(Certificate Signing Request:証明書署名要求)をCitrixから受け取ったら、それをAppleに送信してAPNs証明書を取得します。

注:

一部のユーザーから、Apple Push Portalへのログイン時の問題が報告されています。代わりの手段として、手順1でidentity.apple.comリンクにアクセスする前に、Apple Developer Portal にログオンしても構いません。

  1. ブラウザで、https://identity.apple.com/pushcertに移動します。

  2. [証明書識別情報を作成]をクリックします。

  3. Appleで初めて証明書を作成する場合:[利用規約を読みました。内容に同意します。]チェックボックスをオンにして、[同意します] をクリックします。

  4. [ファイルの選択] をクリックし、コンピューター上の署名入りCSRを指定して [アップロード] をクリックします。アップロードが成功したことを示す確認メッセージが表示されます。

  5. [ダウンロード]をクリックして、.pem証明書を取得します。

    Internet Explorerを使用していて、ファイル拡張子がない場合は、[キャンセル] を2回クリックして、次のウィンドウからダウンロードします。

Microsoft IISを使用して.pfx APN証明書を作成するには

XenMobileでAppleのAPNs証明書を使用するには:Microsoft IISで証明書要求を完成させて、証明書をPCKS #12(.pfx)ファイルとしてエクスポートし、このAPN証明書をXenMobileにインポートします。

重要:

このタスクには、CSRを生成するために使用したサーバーと同じIISサーバーを使用します。

  1. Microsoft IISを開きます。

  2. サーバー証明書アイコンをクリックします。

  3. [サーバー証明書]ウィンドウで、[証明書の要求の完了]をクリックします。

  4. AppleのCertificate.pemファイルを指定します。フレンドリ名または証明書名を入力して[OK]をクリックします。名前に空白や特殊文字は含めないでください。

  5. 手順4で指定した証明書を選択して[エクスポート]をクリックします。

  6. .pfx証明書の場所とファイル名およびパスワードを指定して[OK]をクリックします。

    XenMobileのインストール中にこの証明書のパスワードが必要になります。

  7. .pfx証明書をXenMobileをインストールするサーバーにコピーします。

  8. XenMobileコンソールに管理者としてサインオンします。

  9. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。

  10. [証明書] をクリックします。[証明書] ページが開きます。

  11. [インポート] をクリックします。[インポート] ダイアログボックスが開きます。

  12. [Import]メニューから、[Keystore]を選択します。

  13. [Use as]から、[APNs]を選択します。

  14. [キーストア] ファイルで、[参照] をクリックしてインポートするキーストアファイルの場所に移動し、そのファイルを選択します。

  15. [Password]ボックスに、証明書に割り当てられたパスワードを入力します。

  16. [インポート] をクリックします。

Macコンピューターで.pfx APN証明書を作成するには

  1. macOSを実行する、CSRの生成に使用したものと同じMacコンピューターで、Appleから受け取ったProduction identity(.pem)証明書を見つけます。

  2. 証明書ファイルをダブルクリックして、ファイルをキーチェーンにインポートします。

  3. 特定のキーチェーンへの証明書の追加を確認するメッセージが表示された場合は、デフォルトの選択されたログインキーチェーンを維持して[OK]をクリックします。新たに追加された証明書が証明書の一覧に表示されます。

  4. 証明書をクリックして、[ファイル]メニューで[エクスポート]を選択し、証明書のPCKS #12(.pfx)証明書へのエクスポートを開始します。

  5. XenMobile Serverで使用するには、証明書ファイルに一意の名前を付けるようにします。名前に空白や特殊文字は含めないでください。次に、保存する証明書のフォルダーの場所を選び、.pfxファイル形式を選択して [保存] をクリックします。

  6. パスワードを入力して証明書をエクスポートします。一意で強力なパスワードを使用することをお勧めします。また、後で使用および参照するために証明書とパスワードを安全に保管するようにします。

  7. キーチェーンアクセスアプリケーションによって、ログインパスワードまたは選択したキーチェーンを確認するメッセージが表示されます。パスワードを入力して、[OK]をクリックします。XenMobile Serverで保存された証明書を使用する準備ができました。

    注:

    CSRを生成して証明書のエクスポートプロセスを完了した元のコンピューターとユーザーアカウントを保持しない場合:ローカルシステムの個人キーと公開キーを保存するかエクスポートすることをお勧めします。そうしなければ、再利用のためのAPNs証明書へのアクセスは無効になり、CSRおよびAPNsプロセス全体を繰り返す必要があります。

OpenSSLを使用して.pfx APNs証明書を作成するには

OpenSSLを使用してCSR(Certificate Signing Request:証明書署名要求)を作成した後、OpenSSLを使用して.pfx APNs証明書を作成することもできます。

  1. コマンドプロンプトまたはシェルで次のコマンドを実行します。

    openssl pkcs12 -export -in MDM_Zenprise_Certificate.pem -inkey Customer.key.pem -out apns_identity.p12

  2. .pfx証明書ファイルのパスワードを入力します。このパスワードは、証明書をXenMobileにアップロードするときに再び使用するので覚えておいてください。

  3. .pfx証明書ファイルの場所を確認します。次に、XenMobileコンソールを使用してアップロードできるようにXenMobile Serverにコピーします。

APN証明書をXenMobileにインポートするには

新しいAPNs証明書を要求して受け取ったら:そのAPN証明書をXenMobileにインポートして、最初の証明書として追加するか、既存の証明書を置き換えます。

  1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[設定] ページが開きます。
  2. [証明書] をクリックします。[証明書] ページが開きます。
  3. [インポート] をクリックします。[インポート] ダイアログボックスが開きます。
  4. [Import]メニューから、[Keystore]を選択します。
  5. [Use as]から、[APNs]を選択します。
  6. コンピューターの.p12ファイルを指定します。
  7. パスワードを入力して、[Import]をクリックします。

XenMobileの証明書について詳しくは、「証明書と認証」を参照してください。

APN証明書を更新するには

APNs証明書を更新するには、証明書を作成する場合と同じ手順を実行します。その後、Apple Push Certificates Portal にアクセスして、新しい証明書をアップロードします。ログオンすると、既存の証明書(または、前のApple Developersアカウントからインポートされた証明書)が表示されます。

証明書を更新する場合は、証明書を作成する場合との唯一の違いとして、Certificates Portalで[Renew]をクリックします。Certificates Portalにアクセスするには、このサイトの開発者アカウントが必要です。証明書を更新するときは、同じ組織名とApple IDを使用していることを確認してください。

APNs証明書の有効期限を調べるには、XenMobileコンソールで [構成]>[設定]>[証明書] の順にクリックします。ただし、証明書の有効期限が切れていても証明書を失効させないでください。

  1. IIS(Microsoft)、OpenSSL、またはキーチェーンアクセス(macOS)を使用してCSRを生成します。
  2. XenMobile APNs CSR署名 Webサイトで、[プッシュ通知証明書の署名要求] を選択します。
  3. [+ Upload the CSR] をクリックします。次に、ダイアログボックスでCSRに移動し、[開く][署名] の順にクリックします。
  4. .plistファイルを受信したら保存します。
  5. Apple Push Certificates Portalをクリックしてサインオンします。
  6. 更新する証明書を選択して [更新] をクリックします。
  7. .plistファイルをアップロードします。出力として.pemファイルを受信します。.pemファイルを保存します。
  8. この.pemファイルを使用し、(手順1でCSRを作成するために使用した方法に従って)CSRを完了します。
  9. 証明書を.pfxファイルとしてエクスポートします。

XenMobileコンソールで.pdxファイルをインポートし、以下の手順を実行して構成を完了します:

  1. [設定]>[証明書管理] に移動します。
  2. [Certificates]ページで、[Import]をクリックします。
  3. [インポート] メニューから、[キーストア] を選択します。
  4. [キーストアの種類」 から、[PKCS#12] を選択します。
  5. [Use as]から、[APNs]を選択します。
  6. [キーストアファイル] では、[ブラウザー] をクリックしてファイルに移動します。
  7. [パスワード] ボックスに、証明書のパスワードを入力します。
  8. 必要に応じて [説明] に入力します。
  9. [インポート] をクリックします。

XenMobileで [証明書] ページにリダイレクトされます。[名前][状態][有効期限開始]、および [有効期限終了] フィールドが更新されます。