Citrix Endpoint Management

APNs 证书

要在 Citrix Endpoint Management 中注册和管理 Apple 设备,您需要设置来自 Apple 的 Apple 推送通知服务 (APNs) 证书。 该证书可通过 Apple Push Network 实现移动设备管理。

工作流程摘要:

步骤 1: 通过以下任一方法创建证书签名请求 (CSR):

步骤 2: 在 Citrix Endpoint Management Tools 中签署 CSR

步骤 3: 将签名的 CSR 提交给 Apple 以获取 APNs 证书

步骤 4: 使用与步骤 1 相同的计算机, 完成 CSR 并导出 PKCS #12 文件

步骤 5: 将 APNs 证书导入 Citrix Endpoint Management

步骤 6: 更新 APNs 证书

创建证书签名请求

我们建议您使用 macOS 上的 Keychain Access 创建 CSR。 您还可以使用 Microsoft IIS 或 OpenSSL 创建 CSR。

重要的:

  • 对于用于创建证书的 Apple ID:

    • Apple ID 必须是公司 ID,而不是个人 ID。
    • 记录您用于创建证书的 Apple ID。
    • 要更新您的证书,请使用相同的组织名称和 Apple ID。 使用不同的 Apple ID 来更新证书需要重新注册设备。
  • 如果您意外或故意撤销证书,您将失去管理设备的能力。

  • 如果您使用 iOS 开发者企业计划创建移动设备管理器推送证书:请务必在 Apple 推送证书门户中处理已迁移证书的任何操作。

在 macOS 上使用 Keychain Access 创建 CSR

  1. 在运行 macOS 的计算机上,在 应用程序 > 实用程序下,启动 Keychain Access 应用程序。
  2. 打开 钥匙串访问 菜单,然后单击 证书助理 > 从证书颁发机构请求证书
  3. 证书助手提示您输入以下信息:
    • 电子邮件地址: 管理证书的个人或角色帐户的电子邮件地址。
    • 通用名称: 管理证书的个人或角色账户的通用名称。
    • CA 电子邮件地址: 证书颁发机构的电子邮件地址。
  4. 选择 保存到磁盘让我指定密钥对信息 选项,然后单击 继续
  5. 输入 CSR 文件的名称,将文件保存在您的计算机上,然后单击 保存
  6. 指定密钥对信息:选择 2048 位的 密钥大小RSA 算法 ,然后单击 继续。 作为 APNs 证书流程的一部分,CSR 文件已准备好供您上传。
  7. 当证书助手完成 CSR 流程时,单击 完成
  8. 要继续, 签署 CSR

使用 Microsoft IIS 创建 CSR

生成 APNs 证书请求的第一步是创建证书签名请求 (CSR)。 对于 Windows,使用 Microsoft IIS 生成 CSR。

  1. 打开 Microsoft IIS。
  2. 双击 IIS 的服务器证书图标。
  3. 服务器证书 窗口中,单击 创建证书请求
  4. 键入适当的专有名称 (DN) 信息。 例如,您可以键入 Citrix Endpoint Management 服务器的完全限定域名 (FQDN),例如 www.domain.com。 然后点击 下一步
  5. 选择 Microsoft RSA SChannel Cryptographic Provider 作为加密服务提供程序,并选择 2048 作为位长度,然后单击 Next
  6. 输入文件名并指定保存 CSR 的位置,然后单击 完成
  7. 要继续, 签署 CSR

使用 OpenSSL 创建 CSR

如果您无法使用 macOS 设备或 Microsoft IIS 生成 CSR,请使用 OpenSSL。 您可以从 OpenSSL 网站下载并安装 OpenSSL。

  1. 在安装 OpenSSL 的计算机上,从命令提示符或 shell 运行以下命令。

    openssl req -new -keyout Customer.key.pem -out CompanyAPNScertificate.csr -newkey rsa:2048

  2. 出现以下有关证书命名信息的消息。 根据要求输入信息。

      You are about to be asked to enter information that will be incorporated into your certificate request.
      What you are about to enter is what is called a Distinguished Name or a DN.
      There are quite a few fields but you can leave some blank
      For some fields there will be a default value,
      If you enter '.', the field will be left blank.
      -----
      Country Name (2 letter code) [AU]:US
      State or Province Name (full name) [Some-State]:CA
      Locality Name (eg, city) []:RWC
      Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
      Organizational Unit Name (eg, section) [:Marketing
      Common Name (eg, YOUR name) []:John Doe
      Email Address []:john.doe@customer.com
    <!--NeedCopy-->
    
  3. 在下一条消息中,输入 CSR 私钥的密码。

      Please enter the following 'extra' attributes
      to be sent with your certificate request
      A challenge password []:
      An optional company name []:
    <!--NeedCopy-->
    
  4. 要继续,请按照下一节中的说明签署 CSR。

签署企业社会责任

要将证书与 Citrix Endpoint Management 一起使用,您必须将其提交给 Citrix 进行签名。 Citrix 使用其移动设备管理签名证书对 CSR 进行签名,并以 .plist 格式返回签名文件。

  1. 在您的浏览器中,转到 Citrix Endpoint Management Tools 网站,然后单击 请求推送通知证书签名

    Citrix Endpoint 管理工具页面

  2. 创建新证书页面上,单击 上传 CSR

    上传 CSR 选项

  3. 浏览并选择证书。

重要的:

证书必须为.pem/txt格式。 如果需要,请右键单击并重命名文件,将证书的文件扩展名更改为 .pem 或 .txt。

  1. Citrix Endpoint Management APNs CSR 签名 页面上,单击 签名。 CSR 已签名并自动保存到您配置的下载文件夹中。

  2. 要继续,请按下一节所述提交签名的 CSR。

将签名的 CSR 提交给 Apple 以获取 APNs 证书

从 Citrix 收到您签名的证书签名请求 (CSR) 后,将 CSR 提交给 Apple 以获取导入 Citrix Endpoint Management 所需的 APNs 证书。

笔记:

一些用户报告了登录 Apple Push Portal 的问题。 或者,您可以登录 Apple Developer Portal。 然后您可以按照以下步骤操作:

  1. 在浏览器中,转到 Apple Push Certificates Portal

  2. 单击 创建证书

  3. 第一次使用 Apple 创建证书:选中 我已阅读并同意这些条款和条件 复选框,然后单击 接受

  4. 单击 选择文件,浏览到计算机上签名的 CSR,然后单击 上传。 确认消息表明上传成功。

  5. 单击 下载 以检索 .pem 证书。

  6. 要继续,请按照下一节中的说明完成 CSR 并导出 PKCS #12 文件。

完成 CSR 并导出 PKCS #12 文件

从 Apple 收到 APNs 证书后,返回 Keychain Access、Microsoft IIS 或 OpenSSL 将证书导出到 PCKS #12 文件中。

PKCS #12 文件包含 APNS 证书文件和您的私钥。 PFX 文件的扩展名通常为 .pfx 或 .p12。 您可以互换使用 .pfx 和 .p12 文件。

重要的:

Citrix 建议您从本地系统保存或导出个人密钥和公钥。 您需要密钥来访问 APNs 证书以供重复使用。 如果没有相同的密钥,您的证书将无效,并且您必须重复整个 CSR 和 APN 流程。

在 macOS 上使用 Keychain Access 创建 PKCS #12 文件

重要的:

使用与生成 CSR 相同的 macOS 设备执行此任务。

  1. 在设备上,找到从 Apple 收到的生产身份 (.pem) 证书。

  2. 启动 Keychain Access 应用程序并导航到 登录 > 我的证书 选项卡。 将产品身份证书拖放到打开的窗口上。

  3. 单击证书并展开左箭头以验证该证书是否包含关联的私钥。

  4. 要开始将证书导出为 PCKS #12 (.pfx) 证书,请选择证书和私钥,右键单击,然后选择 导出 2 个项目

  5. 为证书文件指定一个唯一的名称,以便与 Citrix Endpoint Management 一起使用。 名称中不要包含空格字符。 然后,选择保存证书的文件夹位置,选择.pfx 文件格式,然后单击 保存

  6. 输入导出证书的密码。 Citrix 建议您使用唯一且强大的密码。 另外,请务必妥善保管证书和密码以供日后使用和参考。

  7. 钥匙串访问应用程序会提示您输入登录密码或选定的钥匙串。 输入密码,然后单击 OK。 保存的证书现在可以与 Citrix Endpoint Management 服务器一起使用了。

  8. 要继续,请参阅 将 APNs 证书导入 Citrix Endpoint Management

使用 Microsoft IIS 创建 PKCS #12 文件

重要的:

使用与生成 CSR 相同的 IIS 服务器来执行此任务。

  1. 打开 Microsoft IIS。

  2. 单击 服务器证书 图标。

  3. 服务器证书 窗口中,单击 完成证书请求

  4. 浏览到 Apple 的 Certificate.pem 文件。 然后,键入一个友好名称或证书名称,然后单击 OK。 名称中不要包含空格字符。

  5. 选择您在步骤 4 中确定的证书,然后单击 导出

  6. 指定 .pfx 证书的位置和文件名以及密码,然后单击 OK

    您需要证书的密码才能将其导入 Citrix Endpoint Management。

  7. 将 .pfx 证书复制到您计划安装 Citrix Endpoint Management 的服务器。

  8. 要继续,请参阅 将 APNs 证书导入 Citrix Endpoint Management

使用 OpenSSL 创建 PKCS #12 文件

如果您使用 OpenSSL 创建 CSR,那么您也可以使用 OpenSSL 创建 .pfx APNs 证书。

  1. 在命令提示符或 shell 中,运行以下命令。 Customer.privatekey.pem 是来自您的 CSR 的私钥。 APNs_Certificate.pem 是您刚从 Apple 收到的证书。

    openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx

  2. 输入 .pfx 证书文件的密码。 记住此密码,因为将证书上传到 Citrix Endpoint Management 时会再次使用该密码。

  3. 记下 .pfx 证书文件的位置。 然后,将文件复制到 Citrix Endpoint Management 服务器,以便您可以使用控制台上传该文件。

  4. 要继续,请按照下一节中的说明将 APNs 证书导入 Citrix Endpoint Management。

将 APNs 证书导入 Citrix Endpoint Management

收到新的 APNs 证书后:将 APNs 证书导入 Citrix Endpoint Management 以首次添加证书或替换证书。

  1. 在 Citrix Endpoint Management 控制台中,转到 设置 > 证书

  2. 单击 导入 > 密钥库

  3. 用作,选择 APN

  4. 浏览到计算机上的 .pfx 或 .p12 文件。

  5. 输入密码,然后单击 导入

有关 Citrix Endpoint Management 中的证书的详细信息,请参阅 证书和身份验证

续订 APNs 证书

重要的:

如果您使用不同的 Apple ID 进行续订,则必须重新注册用户设备。

要更新 APNs 证书,请执行创建证书的步骤,然后转到 Apple Push Certificates Portal。 使用该门户上传新证书。 登录后,将显示您现有的证书或从之前的 Apple Developers 帐户导入的证书。

在证书门户中,更新证书时的唯一区别是单击 更新。 您必须拥有证书门户的开发者帐户才能访问该网站。 要更新您的证书,请使用相同的组织名称和 Apple ID。

要确定您的 APNs 证书何时过期,请在 Citrix Endpoint Management 控制台中转到 设置 > 证书。 如果证书过期,请不要撤销它。

  1. 使用 Microsoft IIS、Keychain Access (macOS) 或 OpenSSL 生成 CSR。 有关生成 CSR 的更多信息,请参阅 创建证书签名请求

  2. 在您的浏览器中,转到 Citrix Endpoint Management Tools。 然后,点击 请求推送通知证书签名

  3. 单击 + 上传 CSR

  4. 在对话框中,导航到 CSR,单击 打开,然后单击 签名

  5. 当您收到 .plist 文件时,请保存它。

  6. 在步骤 3 标题中,单击 Apple Push Certificates Portal 并登录。

  7. 选择要续订的证书,然后单击 续订

  8. 上传 .plist 文件。 您将收到一个 .pem 文件作为输出。 保存 .pem 文件。

  9. 使用该 .pem 文件,完成 CSR(根据您在步骤 1 中创建 CSR 所使用的方法)。

  10. 将证书导出为 .pfx 文件。

在 Citrix Endpoint Management 控制台中,导入 .pfx 文件并完成如下配置:

  1. 转到 设置 > 证书 > 导入
  2. 导入菜单中,选择 密钥库
  3. 密钥库类型 菜单中,选择 PKCS #12
  4. 用作,选择 APN

    导入证书对话框

  5. 对于 密钥库文件,单击 浏览 并导航到该文件。
  6. Password中,输入证书密码。
  7. 输入可选的 描述
  8. 单击 导入

Citrix Endpoint Management 将您重定向回 证书 页面。 名称状态有效期从开始,以及 有效期至 字段更新。

APNs 证书