Product Documentation

APNs 证书

Feb 27, 2017

要使用 XenMobile 注册和管理 iOS 设备,需要从 Apple 设置并创建 Apple 推送通知服务 (APNs) 证书。本节概述了用于请求 APNs 证书的以下基本步骤:

  • 使用 Windows Server 2012 R2 或 Windows 2008 R2 Server 和 Microsoft Internet Information Server (IIS) 或 Mac 计算机生成证书签名请求 (CSR)。
  • 要求 Citrix 为 CSR 签名。
  • 从 Apple 请求 APNs 证书。
  • 将证书导入到 XenMobile。
注意:
  • 利用 Apple 的 APNs 证书可通过 Apple 推送网络启用移动设备管理。如果您无意或有意吊销了该证书,则无法管理自己的设备。
  • 如果使用 iOS Developer Enterprise Program 创建 Mobile Device Manager 推送证书,则可能会因为将现有证书迁移到 Apple 推送证书门户而需要采取相应措施。

这些主题逐步概述了操作步骤,在本节中依次列出,如下所示:

步骤 1

在 IIS 上创建 CSR

在 Mac 上创建 CSR

使用 Windows Server 2012 R2 或 Windows 2008 R2 Server 和 Microsoft IIS 或在 Mac 计算机上生成 CSR。Citrix 建议采用这种方法。

步骤 2

为 CSR 签名 XenMobile APNs CSR Signing Web 站点上将 CSR 提交给 Citrix(需要 MyCitrix ID)。Citrix 使用其移动设备管理签名证书给 CSR 签名并返回 .plist 格式的已签名文件。

步骤 3

将已签名 CSR 提交给 Apple Apple 推送证书门户上将已签名 CSR 提交给 Apple(需要 Apple ID),然后从 Apple 下载 APNs 证书。

步骤 4

使用 Microsoft IIS 创建 .pfx APNs 证书

在 Macintosh 计算机上创建 .pfx APNs 证书

使用 OpenSSL 创建 .pfx APNs 证书

将 APNs 证书导出为 PCKS #12 (.pfx) 证书(在 IIS、Mac 或 SSL 上)。

步骤 5

将 APNs 证书导入到 XenMobile 将证书导入到 XenMobile。

Apple MDM 推送证书迁移信息

在 iOS Developer Enterprise Program 中创建的移动设备管理 (MDM) 推送证书已迁移到 Apple 推送证书门户。此迁移影响新 MDM 推送证书的创建以及现有 MDM 推送证书的续订、吊销和下载。迁移不影响其他(非 MDM)APNs 证书。

如果 MDM 推送证书是在 iOS Developer Enterprise Program 中创建的,则以下情况适用:

  • 已为您自动迁移证书。
  • 可以在 Apple 推送证书门户续订证书,不会影响您的用户。
  • 需要使用 iOS Developer Enterprise Program 吊销或下载预先存在的证书。

如果没有即将过期的 MDM 推送证书,则无需进行任何操作。如果有即将过期的 MDM 推送证书,请联系您的 MDM 解决方案提供商。然后将 iOS Developer Program Agent 登录到 Apple 推送证书门户(使用其 Apple ID )。

所有新的 MDM 推送证书都必须在 Apple 推送证书门户中创建。iOS Developer Enterprise Program 不再允许创建带有包含 com.apple.mgmt 的产品组合 ID(APNs 主题)的 App ID。

注意:必须跟踪用于创建证书的 Apple ID。此外,该 Apple ID 应是公司 ID,而不是个人 ID。

使用 Microsoft IIS 创建 CSR

生成 iOS 设备的 APNs 证书请求的第一步是创建证书签名请求 (CSR)。在 Windows 2012 R2 或 Windows 2008 R2 Server 上,可以使用 Microsoft IIS 生成 CSR。

  1. 打开 Microsoft IIS。
  2. 双击 IIS 的服务器证书图标。
  3. 在“服务器证书”窗口中,单击创建证书请求
  4. 键入相应的标识名 (DN) 信息,然后单击下一步
  5. 为加密服务提供程序选择 Microsoft RSA SChannel Cryptographic Provider,并为位长度选择 2048,然后单击下一步
  6. 输入文件名并指定保存 CSR 的位置,然后单击完成

在 Mac 计算机上创建 CSR

  1. 在运行 Mac OS X 的 Mac 计算机上,在应用程序 > 实用工具下方,启动钥匙串访问应用程序。
  2. 打开钥匙串访问菜单,然后单击偏好设置
  3. 单击证书选项卡,将 OCSPCRL 的选项更改为,然后关闭“首选项”窗口。
  4. 钥匙串访问菜单上,单击证书助理 > 从证书颁发机构请求证书
  5. “证书助理”将提示您输入以下信息:
    1. 电子邮件地址。负责管理证书的个人或角色帐户的电子邮件地址。
    2. 公用名。负责管理证书的个人或角色帐户的公用名。
    3. CA 电子邮件地址。证书颁发机构的电子邮件地址。
  6. 选择保存到磁盘让我指定密钥对信息选项,然后单击继续
  7. 输入 CSR 文件的名称,在您的计算机上保存此文件,然后单击保存
  8. 通过选择密钥大小 2048 位以及 RSA 算法,指定密钥对信息,然后单击继续。作为 APNs 证书流程的一部分,CSR 文件已可供上载。
  9. 证书助理完成 CSR 流程后,单击完成

使用 OpenSSL 创建 CSR

如果不能使用 Windows 2012 R2 或 Windows 2008 R2 Server 和 Microsoft Internet Information Server (IIS) 或 Mac 计算机生成证书签名请求 (CSR),以提交到 Apple 来获取 Apple 推送通知服务 (APNs) 证书,可以使用 OpenSSL。

注意:要使用 OpenSSL 创建 CSR,首先需要从 OpenSSL Web 站点下载并安装 OpenSSL。

  1. 在安装 OpenSSL 的计算机上,从命令提示窗口或 Shell 执行以下命令。

    openssl req -new -keyout Customer.key.pem –out CompanyAPNScertificate.csr -newkey rsa:2048

  2. 此时将显示以下要求证书命名信息的消息。根据请求输入信息。

    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [AU]:US
    State or Province Name (full name) [Some-State]:CA
    Locality Name (eg, city) []:RWC
    Organization Name (eg, company) [Internet Widgits Pty Ltd]:Customer
    Organizational Unit Name (eg, section) []:Marketing
    Common Name (eg, YOUR name) []:John Doe
    Email Address []:john.doe@customer.com

  3. 在下一条消息中,输入 CSR 私钥的密码。

    Please enter the following 'extra' attributes
    to be sent with your certificate request
    A challenge password []:
    An optional company name []:

  4. 将生成的 CSR 发送给 Citrix。

Citrix 会准备签名的 CSR 并通过电子邮件向您返回相关文件。

为 CSR 签名

证书需要通过 Citrix 签名以便可用于 XenMobile,然后您才能将其提交给 Apple。

  1. 在浏览器中,转到 XenMobile APNs CSR Signing Web 站点。
  2. 单击 Upload the CSR(上载 CSR)。
  3. 浏览并选择证书。

    注意:证书必须采用 .pem/txt 格式。

  4. 在“XenMobile APNs CSR Signing”页面上,单击 Sign(签名)。将为 CSR 签名并将签名后的 CSR 自动保存到已配置的下载文件夹。

将签名后的 CSR 提交给 Apple 以获取 APNs 证书

从 Citrix 收到已签名的证书签名请求 (CSR) 后,需要将其提交给 Apple,以获取 APNs 证书。

注意:有些用户报告登录 Apple 推送门户时遇到问题。作为替代方法,可以先登录到 Apple 开发人员门户 (http://developer.apple.com/devcenter/ios/index.action),之后再转到步骤 1 中的 identity.apple.com 链接。

  1. 在浏览器中,转到 https://identity.apple.com/pushcert
  2. 单击 Create a Certificate(创建证书)。
  3. 如果是首次使用 Apple 创建证书,请选中 I have read and agree to these terms and conditions(我已阅读并同意这些条款和条件)复选框,然后单击 Accept(接受)。
  4. 单击 Choose File(选择文件),浏览到计算机上已签名的 CSR,然后单击 Upload(上载)。此时应显示一条确认消息,表明上载成功。
  5. 单击 Download(下载)以检索 .pem 证书。

    注意:如果您使用的是 Internet Explorer 且文件扩展名丢失,则单击 Cancel(取消)两次,然后从下一个窗口下载。

使用 Microsoft IIS 创建 .pfx APNs 证书

要将来自 Apple 的 APNs 证书用于 XenMobile,需要在 Microsoft IIS 中完成证书请求,将证书导出为 PCKS #12 (.pfx) 文件,然后将 APNs 证书导入 XenMobile。

重要:此任务需要使用用于生成 CSR 的 IIS 服务器。

  1. 打开 Microsoft IIS。
  2. 单击“服务器证书”图标。
  3. 服务器证书窗口中,单击完成证书请求
  4. 浏览至来自 Apple 的 Certificate.pem 文件。然后,键入友好名称或证书名称并单击确定
  5. 选择在步骤 4 中确定的证书,然后单击导出
  6. 为 .pfx 证书指定位置和文件名以及密码,然后单击确定

    注意:在 XenMobile 安装期间需要该证书的密码。

  7. 将 .pfx 证书复制到要安装 XenMobile 的服务器上。
  8. 以管理员身份登录到 XenMobile 控制台。
  9. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。
  10. 单击证书。此时将显示证书页面。
  11. 单击导入。此时将显示导入对话框。
  12. 导入菜单中,选择密钥库
  13. 用作中,选择 APNs
  14. 密钥库文件中,单击浏览并导航到要导入的密钥库文件的位置,选择该文件。
  15. 密码中,键入分配给证书的密码。
  16. 单击导入

在 Macintosh 计算机上创建 .pfx APNs 证书

  1. 在用于生成 CSR 的运行 Mac OS X 的 Mac 计算机上,找到从 Apple 接收的生产标识 (.pem) 证书。
  2. 双击证书文件,将文件导入到钥匙串。
  3. 如果提示将证书添加到指定钥匙串,则保持已选择的默认登录钥匙串,然后单击确定。新添加的证书会出现在证书列表中。
  4. 单击该证书,然后在文件菜单上,单击导出,开始将证书导出到 PCKS #12 (.pfx) 证书中。
  5. 为证书文件命名用于 XenMobile 服务器的唯一名称,为保存的证书选择文件夹位置,选择 .pfx 文件格式,然后单击保存
  6. 输入用于导出证书的密码。Citrix 建议使用具有唯一性的强密码。还要确保证书和密码的安全性,以供以后使用和引用。
  7. 钥匙串访问应用程序会提示您输入登录密码或选定的钥匙串。输入密码,然后单击确定。保存的证书现在即可用于 XenMobile 服务器。

    注意:如果计划不保存和保留最初用于生成 CSR 并完成证书导出过程的计算机及用户帐户,Citrix 建议从本地系统保存或导出个人密钥及公钥。否则,不能访问 APNs 证书以重新使用,且必须重复整个 CSR 和 APNs 过程。

使用 OpenSSL 创建 .pfx APNs 证书

使用 OpenSSL 创建证书签名请求 (CSR) 后,还可使用 OpenSSL 创建 .pfx APNs 证书。

  1. 在命令提示窗口或者 Shell 中,执行以下命令。

    openssl pkcs12 -export -in MDM_Zenprise_Certificate.pem -inkey Customer.key.pem -out apns_identity.p12

  2. 输入 .pfx 证书文件的密码。记住此密码,因为在将证书上载到 XenMobile 时需要再次使用该密码。
  3. 记下 .pfx 证书文件的位置,然后将该文件复制到 XenMobile 服务器中,以便可以使用 XenMobile 控制台来上载文件。

将 APNs 证书导入到 XenMobile

在请求并接收到新 APNs 证书后,可将 APNs 证书导入 XenMobile,以便首次添加该证书或者替换现有证书。

  1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。
  2. 单击证书。此时将显示证书页面。
  3. 单击导入。此时将显示导入对话框。
  4. 导入菜单中,选择密钥库
  5. 用作中,选择 APNs
  6. 浏览到计算机上的 .p12 文件。
  7. 输入密码,然后单击导入

有关 XenMobile 中的证书的详细信息,请参阅证书部分。

续订 APNs 证书

要续订 APNs 证书,需要执行与创建新证书相同的步骤。然后,访问 Apple 推送证书门户并上载新证书。登录后,就可看见自己的现有证书,或者看见从自己之前的 Apple 开发人员帐户导入的证书。在“证书门户”上,续订证书的唯一区别是要单击续订。要访问该站点,您必须拥有证书门户的开发人员帐户。续订您的证书时,请务必使用相同的组织名称和 Apple ID。

注意:要确定 APNs 证书的过期时间,请在 XenMobile 控制台中单击配置 > 设置 > 证书。如果证书已过期,请勿吊销它。

  1. 请使用 Microsoft Internet Information Services (IIS) 生成 CSR。
  2. XenMobile APNs CSR Signing(XenMobile APNs CSR 签名)Web 站点上,上载新 CSR,然后单击 Sign(签名)。
  3. 将签名后的 CSR 提交给 Apple,站点为 Apple 推送证书门户
  4. 单击续订
  5. 使用 Microsoft IIS 生成 PCKS #12 (.pfx) APNs 证书。
  6. 在 XenMobile 控制台中更新新 APNs 证书。单击控制台右上角的齿轮图标。此时将显示设置页面。
  7. 单击证书。此时将显示证书页面。
  8. 单击导入。此时将显示导入对话框。
  9. 导入菜单中,选择密钥库
  10. 用作中,选择 APNs
  11. 浏览到计算机上的 .p12 文件。
  12. 输入密码,然后单击导入