Product Documentation

Certificados de APNs

Para registrar e gerenciar dispositivos iOS no XenMobile, configure um certificado de serviço de Notificação por Push(APNs) da Apple.

Nota:

  • O certificado de APNs da Apple permite o gerenciamento de dispositivo móvel por meio da Rede Push da Apple. Se você acidentalmente ou intencionalmente revogar o certificado, perderá a capacidade de gerenciar os seus dispositivos.
  • Se você estiver usado o iOS Developer Enterprise Program para criar um certificado de envio por push do gerenciador de dispositivos móveis, talvez você precise tomar uma ação devido à migração dos certificados existentes para o Apple Push Certificates Portal.

Os tópicos que descrevem os procedimentos passo a passo estão listados em ordem nesta seção: Aqui está um resumo do processo.

Etapa 1: Para Windows, gere uma CSR usando o Windows Server 2012 R2 ou o Windows 2008 R2 Server, e o Microsoft IIS. Para Mac, gere uma CSR em um computador Mac. A Citrix recomenda esse método.

Etapa 2: Envie a CSR para a Citrix. A Citrix assina a CSR com o respectivo certificado de assinatura de gerenciamento de dispositivo móvel e retorna o arquivo assinado em um formato .plist.

Etapa 3: Envie a CSR assinada para a Apple e faça o download do certificado de APNs da Apple.

Etapa 4: Exporte o certificado de APNs como um certificado PCKS #12 (.pfx) (no IIS, Mac ou SSL).

Etapa 5: Importe um certificado de APNs para o XenMobile.

Informações de migração de certificado de envio por push do Apple MDM

Os certificados de envio por push do gerenciamento de dispositivo móvel (MDM) criados no iOS Developer Enterprise Program foram migrados para o Apple Push Certificates Portal. Essa migração afeta a criação de novos certificados de envio por push do MDM e a renovação, a revogação e o download de certificados de envio por push do MDM existentes. A migração não afeta outros certificados de APNs (não MDM).

Se o seu certificado de envio por push do MDM tiver sido criado no iOS Developer Enterprise Program, as seguintes situações se aplicarão:

  • O certificado foi migrado automaticamente para você.
  • Você pode renovar o certificado no Apple Push Certificates Portal sem afetar os seus usuários.
  • Você precisa usar o iOS Developer Enterprise Program para revogar ou baixar um certificado preexistente.

Se seus certificados de envio por push do MDM não estiverem perto de expirar, não será necessária nenhuma ação. Se você tiver um certificado de envio por push do MDM que está perto de expirar, entre em contato com seu provedor de soluções de MDM. Em seguida, faça com que o seu iOS Developer Program Agent faça login no Apple Push Certificates Portal com o ID Apple dele.

Todos os novos certificados de envio por push do MDM devem ser criados no Apple Push Certificates Portal. O iOS Developer Enterprise Program não permitirá mais a criação de um ID de Aplicativo com um Identificador de Pacote (tópico de APNs) que contenha com.apple.mgmt.

Importante:

Mantenha um controle do ID Apple usado para criar o certificado. Além disso, o ID Apple deve ser um ID corporativo, e não um ID pessoal.

Para criar uma CSR usando o Microsoft IIS

A primeira etapa para gerar uma solicitação de certificado de APNs para dispositivos iOS é criar uma Solicitação de Assinatura de Certificado (CSR). Em um Windows 2012 R2 ou Windows 2008 R2 Server, você pode gerar uma CSR usando o Microsoft IIS.

  1. Abra o Microsoft IIS.
  2. Clique duas vezes no ícone Certificados do Servidor do IIS.
  3. Na janela Certificados do Servidor, clique em Criar Solicitação de Certificado.
  4. Digite as informações adequadas de Nome Diferenciado (DN) e clique em Avançar.
  5. Selecione Microsoft RSA SChannel Cryptographic Provider como o Provedor de Serviços de Criptografia e 2048 como o comprimento de bit e, em seguida, clique em Avançar.
  6. Insira um nome do arquivo, especifique uma localização para salvar a CSR e clique em Concluir.

Para criar uma CSR em um computador Mac

  1. Em um computador Mac que executa o macOS, em Aplicativos > Utilitários, inicie o aplicativo Keychain Access.
  2. Abra o menu de Keychain Access e clique em Preferences.
  3. Clique na guia Certificates, altere as opções OCSP e CRL para Off e feche a janela Preferences.
  4. No menu Keychain Access, clique em Certificate Assistant > Request a Certificate From a Certificate Authority.
  5. O Certificate Assistant solicita que você insira as seguintes informações:
    • Email Address: o endereço de email do indivíduo ou da conta de função responsável por gerenciar o certificado.
    • Common Name: o nome comum do indivíduo ou da conta de função responsável por gerenciar o certificado.
    • CA Email Address: o endereço de email da autoridade de certificação.
  6. Selecione as opções Saved to disk e Let me specify key pair informatione clique em Continue.
  7. Insira um nome para o arquivo da CSR, salve o arquivo no seu computador e depois clique em Save.
  8. Especifique as informações de par de chaves: selecione o Key Size de 2048 bits e o RSA algorithm e clique em Continue. O arquivo da CSR está pronto para que você o carregue como parte do processo de certificado de APNs.
  9. Clique em Done quando o Certificate Assistant concluir o processo da CSR.

Para criar uma CSR usando o OpenSSL

Se você não pode usar um computador Mac ou um Windows Server e Microsoft IIS suportados para gerar uma CSR, poderá usar o OpenSSL.

Para usar o OpenSSL para criar uma CSR, primeiro baixe e instale o OpenSSL no site do OpenSSL.

  1. No computador no qual você instalou o OpenSSL, execute o seguinte comando de um prompt de comando ou shell.

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. A mensagem de informações de nomenclatura de certificado a seguir é exibida. Insira as informações conforme solicitado.

    You are about to be asked to enter information that will be incorporated into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) [:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com
    
  3. Na mensagem seguinte, insira uma senha para a chave privada da CSR.

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:
    

Para assinar a CSR

Antes de enviar o certificado à Apple, envie o certificado para a Citrix para assinatura, para que ele possa ser usado com o XenMobile.

  1. No seu navegador, acesse o site XenMobile APNs CSR Signing.

  2. Clique em Upload the CSR.

  3. Procure e selecione o certificado.

    O certificado deve estar no formato .pem/txt.

  4. Na página XenMobile APNs CSR Signing, clique em Sign. A CSR é assinada e salva automaticamente na sua pasta configurada de downloads.

Para enviar a CSR assinada para a Apple para obter o certificado de APNs

Depois de receber a sua Solicitação de Assinatura de Certificado (CSR) assinada da Citrix, você precisará enviá-la para a Apple para obter o certificado de APNs.

Nota:

Alguns usuários relataram problemas ao fazer login no Apple Push Portal. Como alternativa, você pode fazer login no Apple Developer Portal antes de seguir o link para identity.apple.com na Etapa 1.

  1. Em um navegador, vá para https://identity.apple.com/pushcert.

  2. Clique em Create a Certificate.

  3. Na primeira vez em que você cria um certificado junto à Apple, marque a caixa de seleção I have read and agree to these terms and conditions e clique em Accept.

  4. Clique em Choose File, navegue até a CSR assinada no seu computador e clique em Upload. Uma mensagem de confirmação indica que o carregamento foi bem-sucedido.

  5. Clique em Download para recuperar o certificado .pem.

    Se você estiver usando o Internet Explorer e a extensão do arquivo estiver ausente, clique em Cancel duas vezes e baixe da janela seguinte.

Para criar um certificado de APNs .pfx usando o Microsoft IIS

Para usar o certificado de APNs da Apple com o XenMobile, preencha a solicitação de certificado no Microsoft IIS, exporte o certificado como um arquivo de PCKS #12 (.pfx) e importe o certificado de APNs para o XenMobile.

Importante:

Para essa tarefa, use o mesmo servidor IIS que você usou para gerar a CSR.

  1. Abra o Microsoft IIS.

  2. Clique no ícone Certificados do Servidor.

  3. Na janela Certificados do Servidor, clique em Concluir Solicitação de Certificado.

  4. Procure o arquivo Certificate.pem da Apple. Em seguida, digite um nome amigável ou o nome do certificado, e clique em OK. Não inclua espaços no nome.

  5. Selecione o certificado que você identificou na etapa 4 e clique em Exportar.

  6. Especifique uma localização e um nome do arquivo para o certificado .pfx, além de uma senha e clique em OK.

    Você precisa da senha do certificado durante a instalação do XenMobile.

  7. Copie o certificado .pfx para o servidor no qual planeja instalar o XenMobile.

  8. Faça logon no console XenMobile como um administrador.

  9. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.

  10. Clique em Certificados. A página Certificados é exibida.

  11. Clique em Importar. A caixa de diálogo Importar é exibida.

  12. No menu Importar, selecione Keystore.

  13. Em Usar como, selecione APNs.

  14. No arquivo Keystore, selecione o arquivo de keystore a ser importado clicando em Procurar e navegando até a localização do arquivo.

  15. Em Senha, digite a senha atribuída ao certificado.

  16. Clique em Importar.

Para criar um certificado de APNs .pfx em um computador Mac

  1. No mesmo computador Mac que executa o macOS que você usou para gerar a CSR, localize o certificado de Identidade de produção (PEM) que você recebeu da Apple.

  2. Clique duas vezes no arquivo de certificado para importá-lo para as chaves.

  3. Se você for solicitado a adicionar o certificado a chaves específicas, mantenha as chaves de login padrão selecionadas e clique em OK. O certificado recém-adicionado é exibido na sua lista de certificados.

  4. Clique no certificado e, no menu File, clique em Export para iniciar a exportação do certificado para um certificado PCKS #12 (.pfx).

  5. Dê ao arquivo de certificado um nome exclusivo para uso com o XenMobile Server. Não inclua espaços no nome. Em seguida, escolha o local da pasta para o certificado salvo, selecione o formato de arquivo .pfx e clique em Salvar.

  6. Insira uma senha para exportar o certificado. A Citrix recomenda que você use uma senha única e forte. Além disso, mantenha o certificado e a senha protegidos para uso e referência posteriores.

  7. O aplicativo Keychain Access solicitará a senha de login ou as chaves selecionadas. Insira a senha e clique em OK. O certificado salvo agora está pronto para ser usado com o XenMobile Server.

    Nota:

    Se você não pretende manter o computador e a conta de usuário que usou originalmente para gerar a CSR e concluir o processo de exportação de certificado, a Citrix recomenda salvar ou exportar as Chaves Pública e Pessoal do sistema local. Caso contrário, o acesso aos certificados de APNs para reutilização será anulado e você precisará repetir todo o processo de CSR e APNs.

Para criar um certificado de APNs .pfx usando o OpenSSL

Depois de usar o OpenSSL para criar uma Solicitação de Assinatura de Certificado (CSR), você também poderá usar o OpenSSL para criar um certificado de APNs .pfx.

  1. Em um prompt de comando ou shell, execute o comando a seguir.

    openssl pkcs12 -export -in MDM_Zenprise_Certificate.pem -inkey Customer.key.pem -out apns_identity.p12

  2. Insira uma senha para o arquivo de certificado .pfx. Guarde essa senha, pois você a usará novamente quando carregar o certificado para o XenMobile.

  3. Anote a localização do arquivo de certificado .pfx. Depois copie o arquivo para o XenMobile Server para que você possa usar o console para carregar o arquivo.

Para importar um certificado de APNs para o XenMobile

Depois de solicitar e receber um novo certificado de APNs, importe-o para o XenMobile para adicioná-lo pela primeira vez ou para substituir um certificado existente.

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.
  2. Clique em Certificados. A página Certificados é exibida.
  3. Clique em Importar. A caixa de diálogo Importar é exibida.
  4. No menu Importar, selecione Keystore.
  5. Em Usar como, selecione APNs.
  6. Navegue até o arquivo .p12 no seu computador.
  7. Insira uma senha e clique em Importar.

Para obter mais informações sobre certificados no XenMobile, consulte Certificados.

Para renovar um certificado de APNs

Para renovar um certificado de APNs, realize as mesmas etapas que usaria para criar um certificado. Em seguida, visite o Apple Push Certificates Portal e carregue o novo certificado. Depois de fazer login, você vê o seu certificado existente, ou talvez veja um certificado que foi importado da sua conta anterior do Apple Developers.

No Certificates Portal, a única diferença durante a renovação do certificado é que você clica em Renew. Você deve ter uma conta de desenvolvedor no Certificates Portal para acessar o site. Quando renovar seu certificado, lembre-se de usar o mesmo nome da organização e ID Apple.

Para determinar quando o certificado de APNs expira, no console XenMobile, clique em Configurar > Configurações > Certificados. No entanto, se o certificado tiver expirado, não o revogue.

  1. Gere uma CSR usando o IIS (Microsoft), o OpenSSL ou o Keychain Access (macOS).
  2. No site XenMobile APNs CSR Signing, selecione Solicitar assinatura de certificado de notificação por push.
  3. Clique em + Upload the CSR. Em seguida, na caixa de diálogo, navegue até a CSR, clique em Abrir e clique em Login.
  4. Quando você receber um arquivo .plist, salve-o.
  5. Clique em Apple Push Certificates Portal e faça logon.
  6. Selecione o certificado que deseja renovar e clique em Renovar.
  7. Carregue o arquivo .plist. Você receberá um arquivo .pem como resultado. Salve o arquivo .pem.
  8. Usando esse arquivo .pem, preencha o CSR (de acordo com o método usado para criar o CSR na Etapa 1).
  9. Exporte o certificado como um arquivo .pfx.

No console XenMobile, importe o arquivo .pdx e conclua a configuração da seguinte maneira:

  1. Vá para Configurações > Gerenciamento de certificados.
  2. Na página Certificados, clique em Importar.
  3. No menu Importar, selecione Keystore.
  4. No Tipo de Keystore, escolha PKCS#12.
  5. Em Usar como, selecione APNs.
  6. Em Arquivo de keystore, clique em Procurar e navegue até o arquivo.
  7. Em Senha, digite a senha do certificado.
  8. Digite uma Descrição opcional.
  9. Clique em Importar.

O XenMobile redireciona você de volta à página Certificados. Os campos Nome, Status, Válido de e Válido até são atualizados.