APNs 证书
要在 Citrix Endpoint Management 中注册和管理 Apple 设备,您需要设置来自 Apple 的 Apple 推送通知服务 (APNs) 证书。 该证书可通过 Apple Push Network 实现移动设备管理。
工作流程摘要:
步骤 1: 通过以下任一方法创建证书签名请求 (CSR):
步骤 2: 在 Citrix Endpoint Management Tools 中签署 CSR
步骤 3: 将签名的 CSR 提交给 Apple 以获取 APNs 证书
步骤 4: 使用与步骤 1 相同的计算机, 完成 CSR 并导出 PKCS #12 文件:
- 在 macOS 上使用 Keychain Access 创建 PKCS #12 文件
- 使用 Microsoft IIS 创建 PKCS #12 文件
- 使用 OpenSSL 创建 PKCS #12 文件
步骤 5: 将 APNs 证书导入 Citrix Endpoint Management
步骤 6: 更新 APNs 证书
创建证书签名请求
我们建议您使用 macOS 上的 Keychain Access 创建 CSR。 您还可以使用 Microsoft IIS 或 OpenSSL 创建 CSR。
重要的:
对于用于创建证书的 Apple ID:
- Apple ID 必须是公司 ID,而不是个人 ID。
- 记录您用于创建证书的 Apple ID。
- 要更新您的证书,请使用相同的组织名称和 Apple ID。 使用不同的 Apple ID 来更新证书需要重新注册设备。
如果您意外或故意撤销证书,您将失去管理设备的能力。
如果您使用 iOS 开发者企业计划创建移动设备管理器推送证书:请务必在 Apple 推送证书门户中处理已迁移证书的任何操作。
在 macOS 上使用 Keychain Access 创建 CSR
- 在运行 macOS 的计算机上,在 应用程序 > 实用程序下,启动 Keychain Access 应用程序。
- 打开 钥匙串访问 菜单,然后单击 证书助理 > 从证书颁发机构请求证书。
- 证书助手提示您输入以下信息:
- 电子邮件地址: 管理证书的个人或角色帐户的电子邮件地址。
- 通用名称: 管理证书的个人或角色账户的通用名称。
- CA 电子邮件地址: 证书颁发机构的电子邮件地址。
- 选择 保存到磁盘 和 让我指定密钥对信息 选项,然后单击 继续。
- 输入 CSR 文件的名称,将文件保存在您的计算机上,然后单击 保存。
- 指定密钥对信息:选择 2048 位的 密钥大小 和 RSA 算法 ,然后单击 继续。 作为 APNs 证书流程的一部分,CSR 文件已准备好供您上传。
- 当证书助手完成 CSR 流程时,单击 完成 。
- 要继续, 签署 CSR。
使用 Microsoft IIS 创建 CSR
生成 APNs 证书请求的第一步是创建证书签名请求 (CSR)。 对于 Windows,使用 Microsoft IIS 生成 CSR。
- 打开 Microsoft IIS。
- 双击 IIS 的服务器证书图标。
- 在 服务器证书 窗口中,单击 创建证书请求。
- 键入适当的专有名称 (DN) 信息。 例如,您可以键入 Citrix Endpoint Management 服务器的完全限定域名 (FQDN),例如
www.domain.com
。 然后点击 下一步。 - 选择 Microsoft RSA SChannel Cryptographic Provider 作为加密服务提供程序,并选择 2048 作为位长度,然后单击 Next。
- 输入文件名并指定保存 CSR 的位置,然后单击 完成。
- 要继续, 签署 CSR。
使用 OpenSSL 创建 CSR
如果您无法使用 macOS 设备或 Microsoft IIS 生成 CSR,请使用 OpenSSL。 您可以从 OpenSSL 网站下载并安装 OpenSSL。
-
在安装 OpenSSL 的计算机上,从命令提示符或 shell 运行以下命令。
openssl req -new -keyout Customer.key.pem -out CompanyAPNScertificate.csr -newkey rsa:2048
-
出现以下有关证书命名信息的消息。 根据要求输入信息。
You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [AU]:US State or Province Name (full name) [Some-State]:CA Locality Name (eg, city) []:RWC Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer Organizational Unit Name (eg, section) [:Marketing Common Name (eg, YOUR name) []:John Doe Email Address []:john.doe@customer.com <!--NeedCopy-->
-
在下一条消息中,输入 CSR 私钥的密码。
Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []: An optional company name []: <!--NeedCopy-->
-
要继续,请按照下一节中的说明签署 CSR。
签署企业社会责任
要将证书与 Citrix Endpoint Management 一起使用,您必须将其提交给 Citrix 进行签名。 Citrix 使用其移动设备管理签名证书对 CSR 进行签名,并以 .plist
格式返回签名文件。
-
在您的浏览器中,转到 Citrix Endpoint Management Tools 网站,然后单击 请求推送通知证书签名。
-
在 创建新证书页面上,单击 上传 CSR。
-
浏览并选择证书。
重要的:
证书必须为.pem/txt格式。 如果需要,请右键单击并重命名文件,将证书的文件扩展名更改为 .pem 或 .txt。
-
在 Citrix Endpoint Management APNs CSR 签名 页面上,单击 签名。 CSR 已签名并自动保存到您配置的下载文件夹中。
-
要继续,请按下一节所述提交签名的 CSR。
将签名的 CSR 提交给 Apple 以获取 APNs 证书
从 Citrix 收到您签名的证书签名请求 (CSR) 后,将 CSR 提交给 Apple 以获取导入 Citrix Endpoint Management 所需的 APNs 证书。
笔记:
一些用户报告了登录 Apple Push Portal 的问题。 或者,您可以登录 Apple Developer Portal。 然后您可以按照以下步骤操作:
-
在浏览器中,转到 Apple Push Certificates Portal。
-
单击 创建证书。
-
第一次使用 Apple 创建证书:选中 我已阅读并同意这些条款和条件 复选框,然后单击 接受。
-
单击 选择文件,浏览到计算机上签名的 CSR,然后单击 上传。 确认消息表明上传成功。
-
单击 下载 以检索 .pem 证书。
-
要继续,请按照下一节中的说明完成 CSR 并导出 PKCS #12 文件。
完成 CSR 并导出 PKCS #12 文件
从 Apple 收到 APNs 证书后,返回 Keychain Access、Microsoft IIS 或 OpenSSL 将证书导出到 PCKS #12 文件中。
PKCS #12 文件包含 APNS 证书文件和您的私钥。 PFX 文件的扩展名通常为 .pfx 或 .p12。 您可以互换使用 .pfx 和 .p12 文件。
重要的:
Citrix 建议您从本地系统保存或导出个人密钥和公钥。 您需要密钥来访问 APNs 证书以供重复使用。 如果没有相同的密钥,您的证书将无效,并且您必须重复整个 CSR 和 APN 流程。
在 macOS 上使用 Keychain Access 创建 PKCS #12 文件
重要的:
使用与生成 CSR 相同的 macOS 设备执行此任务。
-
在设备上,找到从 Apple 收到的生产身份 (.pem) 证书。
-
启动 Keychain Access 应用程序并导航到 登录 > 我的证书 选项卡。 将产品身份证书拖放到打开的窗口上。
-
单击证书并展开左箭头以验证该证书是否包含关联的私钥。
-
要开始将证书导出为 PCKS #12 (.pfx) 证书,请选择证书和私钥,右键单击,然后选择 导出 2 个项目。
-
为证书文件指定一个唯一的名称,以便与 Citrix Endpoint Management 一起使用。 名称中不要包含空格字符。 然后,选择保存证书的文件夹位置,选择.pfx 文件格式,然后单击 保存。
-
输入导出证书的密码。 Citrix 建议您使用唯一且强大的密码。 另外,请务必妥善保管证书和密码以供日后使用和参考。
-
钥匙串访问应用程序会提示您输入登录密码或选定的钥匙串。 输入密码,然后单击 OK。 保存的证书现在可以与 Citrix Endpoint Management 服务器一起使用了。
使用 Microsoft IIS 创建 PKCS #12 文件
重要的:
使用与生成 CSR 相同的 IIS 服务器来执行此任务。
-
打开 Microsoft IIS。
-
单击 服务器证书 图标。
-
在 服务器证书 窗口中,单击 完成证书请求。
-
浏览到 Apple 的 Certificate.pem 文件。 然后,键入一个友好名称或证书名称,然后单击 OK。 名称中不要包含空格字符。
-
选择您在步骤 4 中确定的证书,然后单击 导出。
-
指定 .pfx 证书的位置和文件名以及密码,然后单击 OK。
您需要证书的密码才能将其导入 Citrix Endpoint Management。
-
将 .pfx 证书复制到您计划安装 Citrix Endpoint Management 的服务器。
使用 OpenSSL 创建 PKCS #12 文件
如果您使用 OpenSSL 创建 CSR,那么您也可以使用 OpenSSL 创建 .pfx APNs 证书。
-
在命令提示符或 shell 中,运行以下命令。
Customer.privatekey.pem
是来自您的 CSR 的私钥。APNs_Certificate.pem
是您刚从 Apple 收到的证书。openssl pkcs12 -export -in APNs_Certificate.pem -inkey Customer.privatekey.pem -out apns_identity.pfx
-
输入 .pfx 证书文件的密码。 记住此密码,因为将证书上传到 Citrix Endpoint Management 时会再次使用该密码。
-
记下 .pfx 证书文件的位置。 然后,将文件复制到 Citrix Endpoint Management 服务器,以便您可以使用控制台上传该文件。
-
要继续,请按照下一节中的说明将 APNs 证书导入 Citrix Endpoint Management。
将 APNs 证书导入 Citrix Endpoint Management
收到新的 APNs 证书后:将 APNs 证书导入 Citrix Endpoint Management 以首次添加证书或替换证书。
-
在 Citrix Endpoint Management 控制台中,转到 设置 > 证书。
-
单击 导入 > 密钥库。
-
从 用作,选择 APN。
-
浏览到计算机上的 .pfx 或 .p12 文件。
-
输入密码,然后单击 导入。
有关 Citrix Endpoint Management 中的证书的详细信息,请参阅 证书和身份验证。
续订 APNs 证书
重要的:
如果您使用不同的 Apple ID 进行续订,则必须重新注册用户设备。
要更新 APNs 证书,请执行创建证书的步骤,然后转到 Apple Push Certificates Portal。 使用该门户上传新证书。 登录后,将显示您现有的证书或从之前的 Apple Developers 帐户导入的证书。
在证书门户中,更新证书时的唯一区别是单击 更新。 您必须拥有证书门户的开发者帐户才能访问该网站。 要更新您的证书,请使用相同的组织名称和 Apple ID。
要确定您的 APNs 证书何时过期,请在 Citrix Endpoint Management 控制台中转到 设置 > 证书。 如果证书过期,请不要撤销它。
-
使用 Microsoft IIS、Keychain Access (macOS) 或 OpenSSL 生成 CSR。 有关生成 CSR 的更多信息,请参阅 创建证书签名请求。
-
在您的浏览器中,转到 Citrix Endpoint Management Tools。 然后,点击 请求推送通知证书签名。
-
单击 + 上传 CSR。
-
在对话框中,导航到 CSR,单击 打开,然后单击 签名。
-
当您收到
.plist
文件时,请保存它。 -
在步骤 3 标题中,单击 Apple Push Certificates Portal 并登录。
-
选择要续订的证书,然后单击 续订。
-
上传
.plist
文件。 您将收到一个 .pem 文件作为输出。 保存 .pem 文件。 -
使用该 .pem 文件,完成 CSR(根据您在步骤 1 中创建 CSR 所使用的方法)。
-
将证书导出为 .pfx 文件。
在 Citrix Endpoint Management 控制台中,导入 .pfx 文件并完成如下配置:
- 转到 设置 > 证书 > 导入。
- 从 导入菜单中,选择 密钥库。
- 从 密钥库类型 菜单中,选择 PKCS #12。
-
从 用作,选择 APN。
- 对于 密钥库文件,单击 浏览 并导航到该文件。
- 在 Password中,输入证书密码。
- 输入可选的 描述。
- 单击 导入。
Citrix Endpoint Management 将您重定向回 证书 页面。 名称、 状态、 有效期从开始,以及 有效期至 字段更新。