XenMobile Server 10.9 中的新增功能

重要:

准备将设备升级到 iOS 12:适用于 iOS 的 VPN 设备策略中的 Citrix VPN 连接类型不支持 iOS 12。删除您的 VPN 设备策略,然后创建使用 Citrix SSO 连接类型的新 VPN 设备策略。

删除 VPN 设备策略后,Citrix VPN 连接将继续在以前部署的设备中运行。在用户注册期间,您的新 VPN 设备策略配置将在 XenMobile Server 10.9 中生效。

升级到 XenMobile 10.9 之前

  1. 请先将您的 Citrix 许可证服务器更新到 11.15 或更高版本,然后再更新到最新版本的 XenMobile Server 10.9。 最新版本的 XenMobile 要求使用 Citrix 许可证服务器 11.15(最低版本)。 注意:XenMobile 10.9 中的专享升级服务 (SA) 日期为 2018 年 9 月 14 日。您的 Citrix 许可证上的专享升级服务 (SA) 日期必须晚于此日期。可以在许可证服务器中的许可证旁边查看您的 SA 日期。如果要将最新版本的 XenMobile 连接到较旧的许可证服务器环境,连接检查将失败,并且您无法配置许可证服务器。 要续订许可证上的 SA 日期,请从 Citrix 门户下载最新的许可证文件并将该文件上载到许可服务器。有关详细信息,请参阅 https://support.citrix.com/article/CTX209580
  2. 对于群集环境:向运行 iOS 11 及更高版本的设备部署 iOS 策略和应用程序具有以下要求。如果为 NetScaler Gateway 配置了 SSL 持久性,则必须在所有 XenMobile Server 节点上打开端口 80。
  3. 如果运行要升级的 XenMobile Server 的虚拟机的 RAM 低于 4 GB ,请将 RAM 增加到至少 4 GB。请谨记,对于生产环境,建议的最低 RAM 是 8 GB。
  4. 建议:安装 XenMobile 更新之前,请使用 VM 中的功能创建系统的快照。此外,还请备份您的系统配置数据库。如果您在升级过程中遇到问题,请完成允许您还原的备份。

升级到 XenMobile 10.9 之后

如果涉及传出连接的功能停止运行,并且您尚未更改自己的连接配置,请在 XenMobile Server 日志中检查是否存在如下所示的错误:“Unable to connect to the VPP Server: Host name ‘192.0.2.0’ does not match the certificate subject provided by the peer”(无法连接到 VPP 服务器: 主机名 192.0.2.0 与对等机提供的证书使用者不匹配)

证书验证错误指示您需要在 XenMobile Server 上禁用主机名验证。默认情况下,主机名验证对除 Microsoft PKI 服务器以外的传出连接启用。如果主机名验证中断了您的部署,请将服务器属性 disable.hostname.verification 更改为 true。此属性的默认值为 false

从 XenMobile 控制台访问 Tools

您可以从 XenMobile 控制台访问以下 XenMobile Tools:

  • XenMobile Analyzer: 确定和解决您的部署潜在的问题。
  • APNs 门户: 向 Citrix 提交请求以对 APNs 证书进行签名,随后将该证书提交到 Apple。
  • 自动发现服务: 为您的域中的 XenMobile Server 请求和配置自动发现。
  • 管理推送通知: 管理 iOS 和 Windows 移动生产力应用程序的推送通知。
  • MDX Service: 打包可以使用 XenMobile 管理的应用程序。

要访问这些工具,请转至设置 > XenMobile Tools

用于从 Google Play 应用商店添加应用程序的新工作流

现在添加应用程序时,您可以添加公共应用商店 Android 应用程序的软件包 ID,而不是指定 Google Play 凭据。

  1. 从 Google Play 应用商店复制软件包 ID。ID 在应用程序的 URL 中。

    搜索应用程序图

  2. 在 Citrix Endpoint Management 控制台中添加公共应用商店应用程序时,将软件包 ID 粘贴到搜索栏中。

    搜索应用程序图

  3. 如果软件包 ID 有效,将显示一个 UI,允许您输入应用程序详细信息。

    搜索应用程序图

有关详细信息,请参阅添加公共应用商店应用程序

新的公用 REST API

  • 新版本的“Get Devices by Filters API”(通过过滤器获取设备)API 提供有关设备的其他详细信息。有关信息,请参阅 XenMobile Public API for REST Services(适用于 REST 的 XenMobile 公共 API 服务)PDF 中的第 3.16.2 节“Get Devices by Filters (version 2)”(通过过滤器获取设备(版本 2))。

  • 能够重新生成根 CA、设备 CA、服务器 CA 并续订设备证书

    XenMobile Server 在内部将以下证书颁发机构用于 PKI:根 CA、设备 CA、服务器 CA。这些 CA 分类为一个逻辑组并提供一个组名称。预配新的 XenMobile Server 实例时,会生成这三个 CA 并为其提供组名称“default”。

    您可以使用 XenMobile Server 控制台或公用 REST API 为支持的 iOS、macOS 和 Android 设备续订 CA。对于注册的 Windows 设备,用户必须重新注册其设备才能接收新的设备 CA。

    以下 API 可用于在 XenMobile Server 中刷新或重新生成内部 PKI CA,以及续订这些证书颁发机构颁发的设备证书。

    • 创建新的组证书颁发机构 (CA)。
    • 激活新 CA 和取消激活旧 CA。
    • 在一组配置的设备上续订设备证书。已注册的设备继续运行而不会中断。设备重新连接到服务器时颁发设备证书。
    • 返回仍使用旧 CA 的设备列表。
    • 所有设备都拥有新 CA 后删除旧 CA。

    有关信息,请参阅 XenMobile Public API for REST Services(适用于 REST 的 XenMobile 公共 API 服务)PDF:

    • 第 3.16.58 节“Renew Device Certificate”(续订设备证书)
    • 第 3.23 节“Refresh XenMobile CA Group”(刷新 XenMobile CA 组)

    作为此功能的一部分,可从管理设备控制台执行新的安全操作证书续订。此操作用于在相应设备上续订注册证书。

    必备条件:

    • 默认情况下,这些新证书续订功能处于禁用状态。要激活证书续订功能,请将服务器属性 refresh.internal.ca 的值设置为 True
    • 默认情况下,可以同时请求证书续订的设备数为 100。如果已存在 100 个续订设备证书请求,则 API 将抛出错误。要更改该限制,请更新新的服务器属性 max.renew_device_cert_requests.allowed。有关配置服务器属性的信息,请参阅服务器属性

    重要:

    如果您的 NetScaler 设置了 SSL 卸载,则在生成新证书时,请确保使用新的 cacert.perm 来更新您的负载平衡器。有关 NetScaler Gateway 设置的详细信息,请参阅为 NetScaler VIP 使用 SSL 卸载模式

XenMobile Server 10.9 中的新增功能